2014年04月09日

スマホアプリと米国輸出規制に関するメモ

はてなブックマークに登録

※2014-04-21 追記:続きの記事を公開しました
「スマホアプリと米国輸出規制に関するメモの続き 」へ

記事の概要

スマートフォンの普及に伴いそれをターゲットとするソフトウェアベンダや開発者が増えています。スマートフォン向けのアプリケーションを公開する際には通常 Google Play や App Store 等のアプリケーションストアを使用しますが、これらのストアの拠点は米国にあるためそこでアプリを配布することは米国からの輸出に該当し 同国の輸出法の適用対象となることに注意が必要です。

米国の輸出規制の内容は EAR (Export Administration Regulations 輸出管理規則) に定められており、規制に該当するか否かは「何」を「どこへ」輸出しそれを「誰」が「何のため」に使用するかによって決まります。規制対象にあたる輸出を行う際には米国商務省へ申請を行い有効期限を伴う 輸出許可(Export License)を得なければならないケースもありますが、EAR にはある品目の輸出が規制の対象外となるケースや 所定の条件のもとに許可不要となる 許可例外(License Exception)について個別の規定があり、実際には案件の多くにそのいずれかを適用できるようになっています。ただし、その判断と対応を適切に行うためには関連する規則を適切に読み解くことが必要となります。

ソフトウェアに関しては、EAR は「一般に入手可能な技術及びソフトウェア」を輸出規制の対象外とする一方で 暗号処理を包含または使用するソフトウェア(「暗号ソフトウェア」)については規制対象として詳細な規則を設けています。暗号品目に関する規制内容は EAR の「商務省規制品リスト」の中の「カテゴリ 5 パート 2」同参考訳)に定められています。

先日、手元で開発した iOS 用のアプリ「stone for iOS」を App Store で公開しました。このアプリは OpenSSL ライブラリをスタティックリンクしそこに含まれる暗号関数を使用しています。そのため EAR の規制対象にあたりますが、許可例外のひとつである「規制されない技術及びソフトウェア」(=「TSU」)に該当する要件をあらかじめ備えていたため米国からの輸出に際し要した手続きはわずかなものでした。そういった具体的な事例の情報はあまり見かけないため、この記事では関連する規則の説明とともに今回のケースにおいて手元で行った対応内容を紹介します。筆者は取り立てて法律に詳しいわけではなく単に自分の手がけたソフトウェアを公開するために必要な実務上の手続きの一環として所定の規則を読みかじっているに過ぎませんが、情報のひとつとして、特にオープンソースソフトウェア開発者の方のご参考となれば幸いです。

なお、EAR は暗号処理を本体に含むか否かにかかわらず暗号を使用する品目全般を対象としています。ソフトウェアの場合だと OS 組み込みの暗号機能のみを使っているソフトウェアも原則的に規制の対象となります。記事ではその話題にも触れてみることにします。

資料

米国輸出規制に関する資料へのリンクです。

  • Electronic Code of Federal Regulations - www.ecfr.gov
    (U.S. Government Printing Office = GPO 米国政府印刷局のサイト)
    「連邦規則集」の電子版。EAR は「SUBCHAPTER C—EXPORT ADMINISTRATION REGULATIONS」に。

  • Export Administration Regulation Downloadable Files - www.bis.doc.gov
    (Bureau of Industry and Security = BIS 米国商務省産業安全保障局のサイト)
    BIS が EAR をパートごとに PDF 形式で配布。

  • Downlod Documents - Encryption - www.bis.doc.gov
    BIS による暗号使用品目輸出関連のダウンロード用ドキュメント群。
以上はいずれも米国政府のサイトです。英文であることに加え洋の東西を問わず公文書は読みにくいものですが、日本国内に EAR の内容とそれに関連する情報を日本語で公開されている非常に貴重なサイトがあります。

この素晴らしいサイトを個人で運営されている鈴木様よりご許可を頂き、記事には「原文を読み解くための参考訳」としてコンテンツへの直リンクおよびコンテンツからの引用を含めさせて頂いています。参照に際しては「Profile」のページに記載されている内容にご注意下さい。また、さらに素晴らしいことにこちらのサイトは EAR の改訂にも対応し継続的に更新されています。学ばせて頂いている者のひとりとして、鈴木様の膨大かつ貴重なお仕事に謹んで御礼申し上げます。

記事へ引用の原文および参考訳は 2014年4月7日時点のものです
※引用文中の赤字・強調表示は筆者によるものです。「:」は引用の中略を示します

最初に読んでおきたい文書

米国商務省による以下の文書は同国の輸出規制の全体像を俯瞰する上で有用です。用語説明も多く読みやすく書かれているためはじめに一読しておくとよいでしょう。

商務省規制品リストと ECCN(輸出規制分類番号)について

EAR は規制対象とする品目を体系的に分類した CCL(Commerce Control List 商務省規制品リスト)を定めています。 詳細は EAR Part 738 "Commerce Control List Overview and the Country Chart" (参考訳:EAR Part 738 "商務省規制品リストの概要とカントリーチャート ")を参照して下さい。ここには、商務省規制品リストの構造と読み方、輸出仕向地と規制理由に基づく輸出許可要件の記述された 「商務省カントリーチャート」(参考訳)についての説明があります。このカントリーチャートと規制品リストを読み合わせることで所定の品目+仕向地の組合せでの輸出許可の要否を判定できる構成となっています。

規制品リスト上の対象品目は 10 のカテゴリと 5 つの製品グループにより以下の内容で大別されます。

参考訳:§738.2 商務省規制品リスト(CCL)の構造 (以下抜粋)

§738.2 商務省規制品リスト(CCL)の構造 
 (a) カテゴリー 
  CCLは、10のカテゴリーに分割され、次のように付番されている: 
   0-核物質、核施設、核装置及びその他の品目 
   1-材料、化学物質、"微生物"及び毒素 
   2-材料加工 
   3-エレクトロニクス 
   4-コンピュータ 
   5-通信及び情報セキュリティ 
   6-レーザー及びセンサー 
   7-ナビゲーション及びアビオニクス 
   8-船舶 
   9-推進システム、宇宙船及び関連する装置 
 
 (b) グループ 
  各カテゴリーの中で、品目はグループによって配列されている。
  各カテゴリーには、同じ5つのグルプを含んでいる。各グループは、
  文字 A〜Eで次のように区別されている: 
   A-装置、組立品及び部分品 
   B-試験装置、検査装置及び製造装置 
   C-材料 
   D-ソフトウェア 
   E-技術 
ECCN(Export Control Classification Number 輸出規制分類番号)は対象品目を一意に識別するための符丁で、1 文字めは上記カテゴリ、2文字めは製品グループを示します。たとえば、後出の「ECCN 5D002」は「通信及び情報セキュリティ」の「ソフトウェア」に関する規制品目と解釈できます。

EAR(米国輸出規制)の対象とならないソフトウェアとは?

EAR Part 734 "Scope of The Export Administration Regulations" (参考訳:EAR Part 734 "輸出管理規則の適用範囲")には EAR の基本的な考え方が記されています。これを一読すれば EAR の概要に触れることができるでしょう。
この文書の §734.3 "ITEMS SUBJECT TO THE EAR" には、EAR の対象となる品目が大きく定義されており、734.3(b) には対象とならない品目の説明があります。ソフトウェアについては次の記述があります。

原文:§734.3 Items subject to the EAR. (以下抜粋)

(b) The following items are not subject to the EAR:
                        :
 (3) Publicly available technology and software, 
     except software classified under ECCN 5D002 
     on the Commerce Control List, that:  

  (i) Are already published or will be published as
      described in §734.7 of this part;  

  (ii) Arise during, or result from, fundamental
       research, as described in §734.8 of this part;  

  (iii) Are educational, as described in §734.9 of
        this part;  

  (iv) Are included in certain patent applications,
       as described in §734.10 of this part.  

  Note to Paragraphs (b)(2) and (b)(3) of this Section:
  A printed book or other printed  material setting
  forth encryption source code is not itself subject
  to the EAR (see §734.3(b)(2)). 
  However, notwithstanding §734.3(b)(2), encryption
  source code in electronic form or media (e.g., computer
  diskette or CD ROM) remains subject to the EAR
  (see §734.3(b)(3)). Publicly available encryption
  object code software classified under ECCN 5D002 is
  not subject to the EAR when the corresponding source
  code meets the criteria specified in §740.13(e) of
  the EAR.  

参考訳:§734.3 EARの対象品目 (以下抜粋)

(b) 以下の品目は、EARの対象ではない: 
                         :
 (3) 一般に入手可能な技術及びソフトウェア(商務省規
     制品リストの ECCN 5D002 のもとに番号分類される
     ソフトウェアを除くであって、次のいずれかに該当
     するもの: 

  (i) 既に公開されているか公開されようとしているもの
     (本章の§734.7で規定される) ; 

  (ii) 基礎研究の過程において又はその結果として生じた
       もの(本章の§734.8で規定される) ; 

  (iii) 教育に関するもの(本章の§734.9で規定される) ; 

  (iv) 特定の特許申請書に含まれるもの(本章の§734.10
       で規定される) 。 

  本節の(b)(2)及び(b)(3)項の注釈:暗号ソースコードを
  掲載した書籍又はその他の印刷物自体は、EAR 対象外である
  (§734.3(b)(2)参照) 。ただし、§734.3(b)(2)に
  関わらず、電子形式又はメディ ア(例えば、コンピュータ
  ディスケット又は CD-ROM)に記録された暗号ソースコード
  は、EARの対象である(§734.3(b)(3)参照) 。ECCN 5D002
  のもとに番号分類される一般に入手可能な暗号オブジェクト
  コードソフトウェアは、対応するソースコードが
  EAR§740.13(e)で指定される基準を満たしている場合、EARの
  対象とならない。

上のとおり「一般に入手可能な技術及びソフトウェア」は EAR の対象ではないとあります。文中の記述にある「公開」(published)に関する規定を §734.7 で確認します。

原文:§734.7 Published information and software. (以下抜粋)

§ 734.7 PUBLISHED INFORMATION AND SOFTWARE 
              :
(b) Software and information is published when it is
    available for general distribution either for free
    or at a price that does not exceed the cost of
    reproduction and distribution.  See Supplement 
    No. 1 to this part, Questions G(1) through G(3).  

(c) Notwithstanding paragraphs (a) and (b) of this
    section, note that published encryption software
    classified under ECCN 5D002 on the Commerce Control
    List (Supplement No. 1 to part 774 of the EAR)
    remains subject to the EAR, except publicly
    available encryption object code software
    classified under ECCN 5D002 when the corresponding
    source code meets the criteria specified in 
    §740.13(e) of the EAR. See § 740.13(e) of the
    EAR for eligibility requirements for exports and
    reexports of publicly available encryption source
    code under License Exception TSU.  
              :
SUPPLEMENT NO. 1 TO PART 734
        - QUESTIONS AND ANSWERS
        - TECHNOLOGY AND SOFTWARE SUBJECT TO THE EAR  
              :
Section G: Software [2]
 
Question G(1): Is the export or reexport of software
               in machine readable code subject to the
               EAR when the source code for such
               software is publicly available?  

Answer: If the source code of a software program is
        publicly available, then the machine readable
        code compiled from the source code is software
        that is publicly available and therefore not
        subject to the EAR.  

Question G(2): Is the export or reexport of software
               sold at a price that does not exceed
               the cost of reproduction and distribution
               subject to the EAR?

Answer: Software in machine readable code is publicly
        available if it is available to a community 
        at a price that does not exceed the cost of
        reproduction and distribution. 
        Such reproduction and distribution costs may
        include variable and fixed allocations of
        overhead and normal profit for the reproduction
        and distribution functions either in your company
        or in a third party distribution system.
        In your company, such costs may not include
        recovery for development, design, or acquisition.
        In this case, the provider of the software does
        not receive a fee for the inherent value of the
        software.  
              :
[2]
 Exporters should note that these provisions do 
not apply to software controlled under the International
Traffic in Arms Regulations (e.g., certain encryption
software).  

参考訳:§734.7 公開された情報及びソフトウェア (以下抜粋)

§734.7 公開された情報及びソフトウェア 
              :
(b) ソフトウェア及び情報は、無償又は複製及び流通コスト
    を超えない価額で、一般の流通で入手可能な場合、
    公開されたとされる。Supplement No.1 問 G(1)から
    G(3)を参照しなさい。 
 
(c) 本節の(a)及び(b)  項に関わらず、商務省規制品リスト
   (EAR§774  Supplement No.1を参照) の ECCN 5D002の
    もとに番号分類される公開された暗号ソフトウェアは、
    EAR の対象であることに注意しなさい
    (ただし、 ECCN5D002のもとに番号分類される一般に
    入手可能な暗号オブジェクトコードソフトウェアの
    うち、対応するソースコードが EAR§740.13(e)で指定
    される基準を満たしている場合を除く) 。
    許可例外 TSUに基づく一般に入手可能な暗号ソースコード
    の輸出及び再輸出についての適格要件については、
    EAR§740.13(e)を参照しなさい。 
              :
§734 Supplement No.1 Q&A
         − EARの対象となる技術及びソフトウェア 
              :
G項:ソフトウェア [2] 

質問 G(1): 
機械可読コード形式のソフトウェアの輸出又は再輸出は、
このソフトウェアのソースコードが一般に入手可能な場合、
EARの対象となりますか? 

答:ソフトウェアプログラムのソースコードが一般に入手
可能な場合、ソースコードからコンパイルされた機械可読
コードは、一般に入手可能なソフトウェアであり、従って
EAR の対象とはなりません。 
 
質問 G(2): 
複製と流通の原価を超えない価額で販売されるソフトウェア
の輸出又は再輸出は、EARの対象となりますか? 

答:機械可読コード形式のソフトウェアが、複製と流通の
原価を超えない価格で一般公衆に入手可能となっている場合、
そのソフトウェアは、publicly available[一般に入手可能]
です。そのような複製と流通原価には、あなたの会社又はサード
パーティのいずれかの流通システムにおける複製及び流通業務
の諸経費の変動費及び固定費並びに通常の利益を含めることが
できます。
あなたの会社において、この原価に開発、設計又は購入品の
回収費を含めることはできません。この場合、ソフトウェア
の供給者は、ソフトウェア固有の価値に対する料金を受け取り
ません。 
              :
 [2] 輸出者は、これらの条項が国際武器管理規則のもとで規制
 されるソフトウェア(例えば、特定の暗号ソフトウェア)には
 適用されないことに注意しなければならない。 
オープンソースのソフトウェアや複製・流通のコストを超えない価格で公に入手可能なソフトウェアはここでの「公開された」状態に該当するということですね。スマホアプリの実行形式をメジャーなアプリケーションストアである App Store や Google Play で配布することはまさに「公開」にあたるでしょう。

ただし、随所で強調されているように商務省規制品リストにおいて「ECCN 5D002」に分類されるソフトウェアは公開状況にかかわらず規制対象となります。ECCN 5D002 は暗号を使用するソフトウェア品目の区分です

暗号ソフトウェアが規制される理由

EAR が暗号を使用するソフトウェアを特別視し輸出を規制する理由は次のように説明されています。

原文:§ 742.15 ENCRYPTION ITEMS
EAR Part 742 "Control Policy -- CCL Based Controls" より抜粋)

Encryption items can be used to maintain the secrecy
of information, and thereby may be used by persons
abroad to harm U.S. national security, foreign policy
and law enforcement interests. The United States has
a critical interest in ensuring that important and
sensitive information of the public and private sector
is  protected.   
Consistent with our international obligations as a
member of the Wassenaar Arrangement, the United States
has a responsibility to maintain control over the export
and reexport of encryption items. As the President
indicated in Executive Order 13026 and in his Memorandum
of November 15, 1996, exports and reexports of
encryption software, like exports and reexports of
encryption hardware, are controlled because of this
functional capacity to encrypt information, and
not because of any informational or theoretical value
that such software may reflect, contain, or represent,
or that its export or reexport may convey to others
abroad. For this reason, export controls on encryption
software are distinguished from controls on other
software regulated under the EAR. 

参考訳:§ 742.15 暗号品目
EAR Part 742 "CCLに基づく規制方針" より抜粋)

暗号品目は、情報の機密保持に用いることができ、これに
より、外国にいる者によって米国の国家安全保障、外交政策
及び法執行上の国益を侵害するために用いられる可能性が
ある。米国は、公共及び民間分野の重要機密情報が保護される
ことを確実にすることに対し重大な関心がある。ワッセナー
協定のメンバーとしての我々の国際的な義務に沿って、
米国は暗号品目の輸出及び再輸出規制を維持する責任を
有している。大統領が大統領令 13026及び 1996年11月15日
の覚書の中で指示した通り、暗号ソフトウェアの輸出及び
再輸出は、暗号ハードウェアの輸出及び再輸出と同様、
当該ソフトウェアの情報を暗号化する機能的な能力のために
規制されているのであって、当該ソフトウェアが反映し、
包含し若しくは表現することができる、或いはその輸出
若しくは再輸出が国外の他の者に伝達することができる情報
の価値又は理論的な価値によって規制されているのではない。
この理由により、暗号ソフトウェアの輸出規制は、EAR の
もとに規定されている他のソフトウェアの規制とは区別される。 

「ECCN 5D002」とは

前述のように、「5D002」という ECCN は、商務省規制品リストにおける 5 番目のカテゴリ「通信及び情報セキュリティ」に分類されるソフトウェア製品に関する規制品目であることを示しています。 規制品リストの 10 カテゴリの中でこのカテゴリ 5 はそのボリュームのためかふたつのパートに分かれています。カテゴリ 5 の パート 1 は "Telecommunications" (参考訳:"通信")、カテゴリ 5 の パート 2 は "Information Security" (参考訳:"情報セキュリティ")です。5D002 のエントリはパート 2 に含まれています。

原文:Category 5 Part 2 – "INFORMATION SECURITY" D. "SOFTWARE" (以下抜粋)

5D002   “Software” as follows
         (see List of Items Controlled)

License Requirements

Reason for Control: NS, AT, EI
Control(s) 	Country Chart (See Supp. No. 1 to part 738)
NS applies to entire entry	NS Column 1.
AT applies to entire entry	AT Column 1.
EI applies to “software” in 5D002.a,.c.1, or .d
for equipment
controlled for EI reasons in ECCN 5A002. Refer to
§742.15 of the EAR.

Note: Encryption software is controlled because of its
functional capacity, and not because of any informational
value of such software;
such software is not accorded the same treatment under
the EAR as other “software'; and for export licensing
purposes, encryption software is treated under the EAR
in the same manner as a commodity included in
ECCN 5A002.

Note: Encryption source code classified under this entry
remains subject to the EAR even when made publicly
available in accordance with part 734 of the EAR. 
However, publicly available encryption object code
software classified under ECCN 5D002 is not subject to
the EAR when the corresponding source code meets the
criteria specified in §740.13(e), see also
§734.3(b)(3) of the EAR.

List Based License Exceptions (See Part 740 for a
description of all license exceptions)
CIV: N/A
TSR: N/A
ENC: Yes for certain EI controlled software, 
see §740.17 of the EAR for eligibility.

List of Items Controlled

Related Controls:

(1) This entry does not control“software”“required”
    for the“use”of equipment excluded from control
    under the Related Controls paragraph or the
    Technical Notes in ECCN 5A002 or“software”providing
    any of the functions of equipment excluded from
    control under ECCN 5A002. This software is classified
    as ECCN 5D992.

(2) After an encryption registration has been submitted
    to BIS or classification by BIS, mass market
    encryption software that meet eligibility requirements
    are released from “EI” and ”NS” controls. This
    software is classified under ECCN 5D992.c. 
    See §742.15(b) of the EAR.

Related Definitions: 5D002.a controls “software”
designed or modified to use “cryptography” employing
digital or analog techniques to ensure“information
security'.

Items: 

a. “Software”“specially designed”or modified for
    the “development”,“production”or“use”of
    equipment controlled by 5A002 or“software”
    controlled by 5D002.c;

b. “Software”“specially designed”or modified to
    support “technology”controlled by 5E002;

c. Specific “software” as follows:

  c.1. “Software” having the characteristics, or
  performing or simulating the functions of the
  equipment, controlled by 5A002;

  c.2. “Software”to certify“software”controlled by
  5D002.c.1.

d. “Software”designed or modified to enable an item
    to achieve or exceed the controlled performance
    levels for functionality specified by 5A002.a that
    would not otherwise be enabled.

参考訳:カテゴリ 5 パート 2 - "情報セキュリティ" D. “ソフトウェア“ (以下抜粋)

5D002  "ソフトウェア"であって、次のいずれかに
該当するもの (規制品目リスト参照) 
許可要求事項 

規制理由:NS、AT、EI 
Control(s)      Country Chart 
(§738 Supp.No.1参照) 
NS  エントリー全体に適用される。  NS Column 1 
AT  エントリー全体に適用される。  AT Column 1 
EI は、ECCN 5A002 において EI 理由で規制される装置の
ための 5D002.a、.c.1、又は.dに掲げる”ソフトウェア”
に適用される。EAR§742.15を参照のこと。 

注:暗号ソフトウェアは、その機能の能力の故に規制され、
当該ソフトウェアの情報価値の故では規制されない;
当該ソフトウェアは、EAR においては、他のソフトウェアと
同じ扱いを受けない;そして、輸出許可でいうところに
おいて、暗号ソフトウェアは、EAR のもとで、ECCN 5A002 に
含まれる貨物と同様に扱われる。

注:このエントリーのもとに番号分類される暗号ソース
コードは、たとえ EAR§734により一般に入手可能にされたと
しても、依然として EAR の対象である。しかし、ECCN 5D002
のもとに番号分類される一般に入手可能な暗号オブジェクト
コードソフトウェアは、対応するソースコードが
EAR§740.13(e)で指定される基準を満たしている場合、EARの
対象とならない(EAR§ 734.3(b)(3)についても参照のこと) 。

リストに基づく許可例外(すべての許可例外の説明について
§740を参照のこと)

CIV: 適用できない。 
TSR: 適用できない。 
ENC: 特定の EIで規制されるソフトウェアについては Yes、
適格性についてはEAR§740.17を参照のこと。 

規制品目リスト 

関連規制: 

(1) このエントリーは、ECCN 5A002の関連規制欄若しくは
    Technical Note に基づいて規制除外される装置の
    ”使用”のために必要な”ソフトウェア”、又は
    ECCN 5A002 に基づく規制から除外される装置の
    いずれかの機能を提供する”ソフトウェア”については
    規制しない。このソフトウェアは、ECCN 5D992に番号
    分類される。 

(2) 暗号登録が BISに提出された後、又は BISによる番号
    分類の後に、適格性要件を満たすマスマーケット暗号
    ソフトウェアは、”EI”及び”NS”規制から除外される。
    このソフトウェアは ECCN 5D992.c.に番号分類される。
    EAR§742.15(b)を参照のこと。 

関連定義:5D002.a は、”情報セキュリティ”を確実にする
ためにデジタル又はアナログ技術を用いた”暗号処理”を
使用するように設計又は改造した”ソフトウェア”を規制する。 

品目: 

a. 5A002 で規制される装置又は 5D002.c で規制される
   "ソフトウェア"の"開発"、"製造"又は"使用"のために
   "特別に設計"又は改造した"ソフトウェア"; 

b. 5E002で規制される”技術”を支援するために"特別に
   設計"又は改造した”ソフトウェア”;

c. 特別な”ソフトウェア”であって、次のいずれかに
   該当するもの: 

  c.1. 5A002 で規制される性能を有する"ソフトウェア"
       又は5A002で規制される装置の機能を実現する若しくは
       機能をシミュレーションする"ソフトウェア";

  c.2. 5D002.c.1で規制される”ソフトウェア”を検定する
       ための”ソフトウェア”。 

d. "ソフトウェア"であって、当該プログラムを用いることに
   よってのみ、ある品目が 5A002.a で指定される機能に
   ついて規制される性能レベルに到達し、若しくはこれを
   超えることを可能にするように設計又は改造したもの。 

「カテゴリ 5 パート 2」は情報セキュリティに関わる機器やソフトウェア・部品・回路等に対する規制品のリストであり、セキュリティの維持に不可欠な「暗号」についてとりわけ詳細に言及されています。ECCN 5D002 には暗号を使用するソフトウェアが該当しますが、上記の 5D002 のエントリには他の ECCN への言及が多く単独では規制内容を読み解くことができません。

この 5D002 を知る上でポイントとなるのは「5A002」です。前出のコード体系から、5A002 の「A」が「装置、組立品及び部分品」など主に物理的な機器を指していることが読み取れます。原文・訳文の引用に代え、5A002 での規制内容の核心部分の要約を参考訳から以下に示します。

  • a.1. デジタル方式の、"暗号処理"技術を用い、認証、デジタル署名又は複製することを防止された"ソフトウェア"の実行のため以外の暗号機能を有するように設計又は改造したものであって、 次のいずれかに該当するもの:
    • a.1.a. 56 ビットを超える鍵長を用いた”対称アルゴリズム”;又は
    • a.1.b. アルゴリズムの安全性が以下のいずれ かに基づく”非対称アルゴリズム”:
      • a.1.b.1. 512ビットを超える整数の素因数分解(例えば、RSA) ;
      • a.1.b.2. 有限体上の乗法群における512ビットを超える離散対数の計算(例えば、有限体上のDiffie- Hellman方式);又は
      • a.1.b.3. 5A002.a.1.b.2に規定するもの以外の群における 112 ビットを超える離散対数(例えば、楕円曲線上の Diffie-Hellman方式) ;
わかりやすいですね。この内容を頭においてあらためて上の 5D002 エントリの記事に注目してみます。
> 注:暗号ソフトウェアは、その機能の能力の故に規制され、
> 当該ソフトウェアの情報価値の故では規制されない;
> 当該ソフトウェアは、EAR においては、他のソフトウェアと
> 同じ扱いを受けない;そして、輸出許可でいうところに
> おいて、暗号ソフトウェアは、EAR のもとで、ECCN 5A002 に
> 含まれる貨物と同様に扱われる。

つまり、5A002 は物理的な機器類に対する規制ではあるけれど、分類上ソフトウェアへの規制である 5D002 はそのソフトウェアの本質的な機能が 5A002 に該当する品目と同等である可能性があるため同等の扱いとしている、ということですね。
さらに、

> 品目: 
> 
> a. 5A002 で規制される装置又は 5D002.c で規制される
>    "ソフトウェア"の"開発"、"製造"又は"使用"のために
>    "特別に設計"又は改造した"ソフトウェア"; 
> 
                          :
> 
> c. 特別な”ソフトウェア”であって、次のいずれかに
>    該当するもの: 
> 
>   c.1. 5A002 で規制される性能を有する"ソフトウェア"
>        又は5A002で規制される装置の機能を実現する若しくは
>        機能をシミュレーションする"ソフトウェア";

「c.1」は、5A002 で機器に対して規制している暗号処理機能を実現・再現可能なソフトウェアに対する規制です。暗号処理の本体を含むソフトウェアが該当するものと解釈されます。その形式が単体で実行可能なプログラムであれ、何らかのライブラリであれ、あるいは暗号機能を内蔵するオペレーティングシステムもあってもこれにあてはまるでしょう。

「a」で特に注意したいのは、5A002, 5D002.c で規制される品目を「使用」するソフトウェアに対しても規制をかけている点です。このことは、暗号処理の本体を内蔵せず外部のソフトウェアやオペレーティングシステムの供する暗号機能のみを利用するソフトウェアであっても ECCN 5D002 として等しく規制対象となることを意味します。たとえば、秘匿性の求められるデータの保存やネットワーク通信を行う際に OS 組み込みの暗号機能を使うことは珍しいことではありませんが、原則的にはそういった処理を含むソフトウェアはすべて EAR の規制対象ということになります。

ただし、実際にはこの「カテゴリ 5 パート 2」には当該品目が規制の対象外や例外となる条件も多く付与されています。スマートフォンの普及に伴い米国のアプリケーションストアを利用する開発者・ベンダが急増している状況も相まってこの「カテゴリ 5 パート 2」には世界中から多くの関心が寄せられており、規制内容そのものに加えそういった除外条件も正しく把握されなければなりませんが、残念ながらこの文書には規制緩和の累積の結果か数多くの注釈と別項への言及が含まれておりとても読みにくいものになっています。

「カテゴリ 5 パート 2」判定用フローチャート

そのような事情もあってか、米国商務省は暗号を使用する所定の品目の「カテゴリ 5 パート 2」との関係を判定するためのふたつのフローチャートを公開しています。このフローチャートは複雑な「カテゴリ 5 パート 2」の概要を知る上でも有用です。

先日公開した iOS 用のアプリ「stone for iOS」をこのフローチャートで評価してみます。

※「stone for iOS」は、TCP / UDP パケットリピータ 'stone' を GUI アプリ化したものです。 stone は SSL に対応しており、このアプリは OpenSSL ライブラリをスタティックリンクしそこに含まれる暗号関数を使用しています。 OpenSSL はもとより stone および stone for iOS もオープンソースソフトウェアです。

フローチャート 1

ひとつめのフローチャートは、所定の品目が「カテゴリ 5 パート 2」での規制対象となるか否かを評価するためのものです。ここで規制対象と判定されなければそのまま輸出することができます。そうでなければフローチャート 2 へ進みます。

原文:ITEMS DESIGNED TO USE ENCRYPTION NOT CONTROLLED UNDER CATEGORY 5, PART 2 OF THE EAR

参考訳:(EAR カテゴリ 5 パート 2 で規制されない暗号使用品目)

(フローチャートの画像は参考訳からの転載です)

フローチャート 1 のみっつめの設問にある「注4」の内容を以下に引用します。

原文:「カテゴリ 5 パート 2」の 注4

Note 4:  Category 5, Part 2 does not apply to items
         incorporating or using “cryptography”and
         meeting all of the following: 

a. The primary function or set of functions is not any
   of the following: 
 
 1. “Information security”; 

 2. A computer, including operating systems, parts
    and components therefor; 

 3. Sending, receiving or storing information (except in
    support of entertainment, mass commercial broadcasts,
    digital rights management or medical records
    management); or 

 4. Networking (includes operation, administration, 
    management and provisioning);  
    
b. The cryptographic functionality is limited to supporting
   their primary function or set of functions; and 
   
c. When necessary, details of the items are accessible and
   will be provided, upon request, to the appropriate
   authority in the exporter's country in order to
   ascertain compliance with conditions described in
   paragraphs a. and b. above. 
参考訳:「カテゴリ 5 パート 2」の注4
注4:カテゴリー5−パート 2は、"暗号"を組み込んでいる
     又は使用している品目であって、次のすべての条件を
     満たすものには適用されない: 

a. 品目の主たる機能又は一連の機能が次のいずれにも
   該当しないもの: 
 
 1. "情報セキュリティー"
    [情報システムのセキュリティ管理];  

 2. コンピュータ(これらのためのオペレーティングシステム、
    部品及び部分品を含む) ; 

 3. 情報の送信・受信または保存(娯楽, 商業放送, 
    デジタル著作権管理または 医療用の記録管理  の支援の
    ためのものを除く);または      

 4. ネットワーキング(有線若しくは無線回線網による
    電気通信回線の運用、管理、及び構築を含む) ; 

b. 当該品目の有する暗号機能が当該品目の主たる機能又は
   一連の機能の支援のためにのみ用いられているもの;並びに 

c. 必要に応じて、上記の a 項及び b 項で定める条件に
   適合していることを確認するために、品目の詳細が
   アクセスでき、かつ、請求があり次第、輸出国のしかる
   べき当局に提示されること。 

フローチャート 1 で「stone for iOS」を判定してみる

設問1:
"Is the item designed to use cryptography or does it contain cryptography?"
「その品目は、暗号技術を使用するように設計していますか又は暗号機能を搭載していますか?」

       Yes

設問2:
"Is this hardware or software specially designed for medical end use?"
「このハードウェア又はソフトウェアは、医療の最終用途のために特別に設計したものですか?」

       No

設問3:
"Is the product described by Note 4?"
「その製品は、注4 により定められるものですか? 」

       No

  • 注4の「a.1」に該当する利用方法が可能
  • 注4の「a.2」には非該当
  • 注4の「a.3」に該当
  • 注4の「a.4」には非該当      よって条件「a」でアウト

設問4:
"Is the encryption functionality limited to intellectual property or copyright protection functions?"
「その暗号機能は、知的所有権保護又は著作権保護に限定されていますか? 」

       No

よって、「stone for iOS」は「カテゴリ 5 パート 2」で規制されます。

フローチャート 2

ふたつめのフローチャートは、「カテゴリ 5 パート 2」の規制対象に該当する品目を分類し、それを輸出するために必要な手続きを判定するものです。

原文:Classifying under an ECCN in Category 5, Part 2

参考訳:(EAR カテゴリ 5 パート 2 のもとでの分類)

(フローチャートの画像は参考訳からの転載です)

このフローチャート 2 の各設問で言及されている記事を以下に引用します。

「5A002 の注」
原文:

参考訳:

「5A002 a.1」 と その Technical Note
原文:

a.1. Designed or modified to use “cryptography” 
     employing digital techniques performing any
     cryptographic function other than authentication,
     digital signature, or execution of copy-protected
     “software,” and having any of the following: 
 
 Technical Notes: 
 
  1. Functions for authentication, digital signature
     and the execution of copy-protected “software”
     include their associated key management function. 
 
  2. Authentication includes all aspects of access
     control where there is no encryption of files or
     text except as directly related to the protection
     of passwords, Personal Identification Numbers (PINs)
     or similar data to prevent unauthorized access. 
 
  3.“Cryptography” does not include “fixed” data
     compression or coding techniques.
     
  Note: 5A002.a.1 includes equipment designed or
  modified to use “cryptography” employing analog
  principles when implemented with digital techniques. 

原文:

a.1. デジタル方式の、"暗号処理"技術を用い、認証、
     デジタル署名又は複製することを防止された
     "ソフトウェア"の実行のため以外の暗号機能を
     有するように設計又は改造したものであって、 
     次のいずれかに該当するもの: 

 Technical Notes: 

  1. 認証、デジタル署名及び複製することを防止された
     "ソフトウェア"の実行のための暗号機能には、関連
     する鍵管理機能を含む。 

  2. 認証には、不正なアクセスを防ぐためのパスワード、
     個人識別番号(PINs)又は類似のデータの保護に直接
     関連しないファイル若しくはテキストの暗号化機能
     以外のすべてのアクセス制御機能を含む。 

  3.“暗号処理”には、”固定式”のデータ圧縮又は符号化
     技術を含まない。 
     
  注: 5A002.a.1 には、デジタル技術を実装したアナログ
  方式の”暗号処理”を使用するように設計又は改造した
  装置を含む。 

「カテゴリ 5 パート 2 の注 3」
原文:

参考訳:

フローチャート 2 で「stone for iOS」を判定してみる

設問1:
"Is the item publicly available encryption source code? "
「その品目は一般に公開されている暗号ソースコードですか?」

       Yes

「stone for iOS」は GPL のオープンソースソフトウェアである「stone」を使用しているため当初よりソースコードを公開することを前提としていました。また、実行形式へリンクしている OpenSSL もまた広く知られたオープンソースソフトウェアです。したがって、「stone for iOS」という「暗号ソフトウェア」のソースコードはすべて 一般に入手可能(publicly available)であり、フローチャート 2 の最初の設問への回答は「Yes」となります。矢印の先には次の記述があります。

"Self Classify as 5D002. See License Exception TSU (740.13(e)) for notification requirement"
「5D002 として自己番号分類 届出要求事項について、 許可例外 TSU(§740.13(e))を参照してください。」

つまり、このソフトウェアは ECCN 5D002 に該当するものの「TSU」という許可例外の適用により商務省から輸出許可を取得することなく米国からの輸出が可能ということですね。さっそく許可例外 TSU の内容と適用条件を確認してみましょう。

記事が長くなったためこの続きは後日あらためて掲載します。ちなみに「stone for iOS」はその後 App Store への登録申請時にこちらの希望的観測とは裏腹に実にあっさりと「Export Compliance の不備」を理由にリジェクトされたりもしたのですが(^^;、そういったエピソードもこれから続きの記事に書く予定です。興味のある方はご期待下さい。
※2014-04-21 追記:続きの記事を公開しました
「スマホアプリと米国輸出規制に関するメモの続き 」へ

(tanabe)
klab_gijutsu2 at 10:09│Comments(0)TrackBack(0)Android | iOS

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
Blog内検索
このブログについて
DSASとは、KLab が構築し運用しているコンテンツサービス用のLinuxベースのインフラです。現在5ヶ所のデータセンタにて構築し、運用していますが、我々はDSASをより使いやすく、より安全に、そしてより省力で運用できることを目指して、日々改良に勤しんでいます。
このブログでは、そんな DSAS で使っている技術の紹介や、実験してみた結果の報告、トラブルに巻き込まれた時の経験談など、広く深く、色々な話題を織りまぜて紹介していきたいと思います。
最新コメント
最新トラックバック
Archives