スマホアプリと米国輸出規制に関するメモ
「スマホアプリと米国輸出規制に関するメモの続き 」へ
記事の概要
スマートフォンの普及に伴いそれをターゲットとするソフトウェアベンダや開発者が増えています。スマートフォン向けのアプリケーションを公開する際には通常 Google Play や App Store 等のアプリケーションストアを使用しますが、これらのストアの拠点は米国にあるためそこでアプリを配布することは米国からの輸出に該当し 同国の輸出法の適用対象となることに注意が必要です。
米国の輸出規制の内容は EAR (Export Administration Regulations 輸出管理規則) に定められており、規制に該当するか否かは「何」を「どこへ」輸出しそれを「誰」が「何のため」に使用するかによって決まります。規制対象にあたる輸出を行う際には米国商務省へ申請を行い有効期限を伴う 輸出許可(Export License)を得なければならないケースもありますが、EAR にはある品目の輸出が規制の対象外となるケースや 所定の条件のもとに許可不要となる 許可例外(License Exception)について個別の規定があり、実際には案件の多くにそのいずれかを適用できるようになっています。ただし、その判断と対応を適切に行うためには関連する規則を適切に読み解くことが必要となります。
ソフトウェアに関しては、EAR は「一般に入手可能な技術及びソフトウェア」を輸出規制の対象外とする一方で 暗号処理を包含または使用するソフトウェア(「暗号ソフトウェア」)については規制対象として詳細な規則を設けています。暗号品目に関する規制内容は EAR の「商務省規制品リスト」の中の「カテゴリ 5 パート 2」(同参考訳)に定められています。
先日、手元で開発した iOS 用のアプリ「stone for iOS」を App Store で公開しました。このアプリは OpenSSL ライブラリをスタティックリンクしそこに含まれる暗号関数を使用しています。そのため EAR の規制対象にあたりますが、許可例外のひとつである「規制されない技術及びソフトウェア」(=「TSU」)に該当する要件をあらかじめ備えていたため米国からの輸出に際し要した手続きはわずかなものでした。そういった具体的な事例の情報はあまり見かけないため、この記事では関連する規則の説明とともに今回のケースにおいて手元で行った対応内容を紹介します。筆者は取り立てて法律に詳しいわけではなく単に自分の手がけたソフトウェアを公開するために必要な実務上の手続きの一環として所定の規則を読みかじっているに過ぎませんが、情報のひとつとして、特にオープンソースソフトウェア開発者の方のご参考となれば幸いです。
なお、EAR は暗号処理を本体に含むか否かにかかわらず暗号を使用する品目全般を対象としています。ソフトウェアの場合だと OS 組み込みの暗号機能のみを使っているソフトウェアも原則的に規制の対象となります。記事ではその話題にも触れてみることにします。
資料
米国輸出規制に関する資料へのリンクです。
- Electronic Code of Federal Regulations - www.ecfr.gov
(U.S. Government Printing Office = GPO 米国政府印刷局のサイト)
「連邦規則集」の電子版。EAR は「SUBCHAPTER C—EXPORT ADMINISTRATION REGULATIONS」に。 - Export Administration Regulation Downloadable Files - www.bis.doc.gov
(Bureau of Industry and Security = BIS 米国商務省産業安全保障局のサイト)
BIS が EAR をパートごとに PDF 形式で配布。 - Downlod Documents - Encryption - www.bis.doc.gov
BIS による暗号使用品目輸出関連のダウンロード用ドキュメント群。
この素晴らしいサイトを個人で運営されている鈴木様よりご許可を頂き、記事には「原文を読み解くための参考訳」としてコンテンツへの直リンクおよびコンテンツからの引用を含めさせて頂いています。参照に際しては「Profile」のページに記載されている内容にご注意下さい。また、さらに素晴らしいことにこちらのサイトは EAR の改訂にも対応し継続的に更新されています。学ばせて頂いている者のひとりとして、鈴木様の膨大かつ貴重なお仕事に謹んで御礼申し上げます。
※記事へ引用の原文および参考訳は 2014年4月7日時点のものです
※引用文中の赤字・強調表示は筆者によるものです。「:」は引用の中略を示します
最初に読んでおきたい文書
米国商務省による以下の文書は同国の輸出規制の全体像を俯瞰する上で有用です。用語説明も多く読みやすく書かれているためはじめに一読しておくとよいでしょう。
- Introduction to Commerce Department Export
Controls
(参考訳:商務省輸出規制入門編)
- FAQs on Export Licensing
(参考訳:輸出許可に関するFAQ)
商務省規制品リストと ECCN(輸出規制分類番号)について
EAR は規制対象とする品目を体系的に分類した CCL(Commerce Control List 商務省規制品リスト)を定めています。 詳細は EAR Part 738 "Commerce Control List Overview and the Country Chart" (参考訳:EAR Part 738 "商務省規制品リストの概要とカントリーチャート ")を参照して下さい。ここには、商務省規制品リストの構造と読み方、輸出仕向地と規制理由に基づく輸出許可要件の記述された 「商務省カントリーチャート」(参考訳)についての説明があります。このカントリーチャートと規制品リストを読み合わせることで所定の品目+仕向地の組合せでの輸出許可の要否を判定できる構成となっています。
規制品リスト上の対象品目は 10 のカテゴリと 5 つの製品グループにより以下の内容で大別されます。
参考訳:§738.2 商務省規制品リスト(CCL)の構造 (以下抜粋)
§738.2 商務省規制品リスト(CCL)の構造 (a) カテゴリー CCLは、10のカテゴリーに分割され、次のように付番されている: 0-核物質、核施設、核装置及びその他の品目 1-材料、化学物質、"微生物"及び毒素 2-材料加工 3-エレクトロニクス 4-コンピュータ 5-通信及び情報セキュリティ 6-レーザー及びセンサー 7-ナビゲーション及びアビオニクス 8-船舶 9-推進システム、宇宙船及び関連する装置 (b) グループ 各カテゴリーの中で、品目はグループによって配列されている。 各カテゴリーには、同じ5つのグルプを含んでいる。各グループは、 文字 A〜Eで次のように区別されている: A-装置、組立品及び部分品 B-試験装置、検査装置及び製造装置 C-材料 D-ソフトウェア E-技術ECCN(Export Control Classification Number 輸出規制分類番号)は対象品目を一意に識別するための符丁で、1 文字めは上記カテゴリ、2文字めは製品グループを示します。たとえば、後出の「ECCN 5D002」は「通信及び情報セキュリティ」の「ソフトウェア」に関する規制品目と解釈できます。
EAR(米国輸出規制)の対象とならないソフトウェアとは?
EAR Part 734 "Scope of The Export Administration Regulations" (参考訳:EAR Part 734 "輸出管理規則の適用範囲")には EAR の基本的な考え方が記されています。これを一読すれば EAR の概要に触れることができるでしょう。
この文書の §734.3 "ITEMS SUBJECT TO THE EAR" には、EAR の対象となる品目が大きく定義されており、734.3(b) には対象とならない品目の説明があります。ソフトウェアについては次の記述があります。
原文:§734.3 Items subject to the EAR. (以下抜粋)
(b) The following items are not subject to the EAR:
:
(3) Publicly available technology and software,
except software classified under ECCN 5D002
on the Commerce Control List, that:
(i) Are already published or will be published as
described in §734.7 of this part;
(ii) Arise during, or result from, fundamental
research, as described in §734.8 of this part;
(iii) Are educational, as described in §734.9 of
this part;
(iv) Are included in certain patent applications,
as described in §734.10 of this part.
Note to Paragraphs (b)(2) and (b)(3) of this Section:
A printed book or other printed material setting
forth encryption source code is not itself subject
to the EAR (see §734.3(b)(2)).
However, notwithstanding §734.3(b)(2), encryption
source code in electronic form or media (e.g., computer
diskette or CD ROM) remains subject to the EAR
(see §734.3(b)(3)). Publicly available encryption
object code software classified under ECCN 5D002 is
not subject to the EAR when the corresponding source
code meets the criteria specified in §740.13(e) of
the EAR.
参考訳:§734.3 EARの対象品目 (以下抜粋)
(b) 以下の品目は、EARの対象ではない:
:
(3) 一般に入手可能な技術及びソフトウェア(商務省規
制品リストの ECCN 5D002 のもとに番号分類される
ソフトウェアを除くであって、次のいずれかに該当
するもの:
(i) 既に公開されているか公開されようとしているもの
(本章の§734.7で規定される) ;
(ii) 基礎研究の過程において又はその結果として生じた
もの(本章の§734.8で規定される) ;
(iii) 教育に関するもの(本章の§734.9で規定される) ;
(iv) 特定の特許申請書に含まれるもの(本章の§734.10
で規定される) 。
本節の(b)(2)及び(b)(3)項の注釈:暗号ソースコードを
掲載した書籍又はその他の印刷物自体は、EAR 対象外である
(§734.3(b)(2)参照) 。ただし、§734.3(b)(2)に
関わらず、電子形式又はメディ ア(例えば、コンピュータ
ディスケット又は CD-ROM)に記録された暗号ソースコード
は、EARの対象である(§734.3(b)(3)参照) 。ECCN 5D002
のもとに番号分類される一般に入手可能な暗号オブジェクト
コードソフトウェアは、対応するソースコードが
EAR§740.13(e)で指定される基準を満たしている場合、EARの
対象とならない。
上のとおり「一般に入手可能な技術及びソフトウェア」は EAR の対象ではないとあります。文中の記述にある「公開」(published)に関する規定を §734.7 で確認します。
原文:§734.7 Published information and software. (以下抜粋)
§ 734.7 PUBLISHED INFORMATION AND SOFTWARE
:
(b) Software and information is published when it is
available for general distribution either for free
or at a price that does not exceed the cost of
reproduction and distribution. See Supplement
No. 1 to this part, Questions G(1) through G(3).
(c) Notwithstanding paragraphs (a) and (b) of this
section, note that published encryption software
classified under ECCN 5D002 on the Commerce Control
List (Supplement No. 1 to part 774 of the EAR)
remains subject to the EAR, except publicly
available encryption object code software
classified under ECCN 5D002 when the corresponding
source code meets the criteria specified in
§740.13(e) of the EAR. See § 740.13(e) of the
EAR for eligibility requirements for exports and
reexports of publicly available encryption source
code under License Exception TSU.
:
SUPPLEMENT NO. 1 TO PART 734
- QUESTIONS AND ANSWERS
- TECHNOLOGY AND SOFTWARE SUBJECT TO THE EAR
:
Section G: Software [2]
Question G(1): Is the export or reexport of software
in machine readable code subject to the
EAR when the source code for such
software is publicly available?
Answer: If the source code of a software program is
publicly available, then the machine readable
code compiled from the source code is software
that is publicly available and therefore not
subject to the EAR.
Question G(2): Is the export or reexport of software
sold at a price that does not exceed
the cost of reproduction and distribution
subject to the EAR?
Answer: Software in machine readable code is publicly
available if it is available to a community
at a price that does not exceed the cost of
reproduction and distribution.
Such reproduction and distribution costs may
include variable and fixed allocations of
overhead and normal profit for the reproduction
and distribution functions either in your company
or in a third party distribution system.
In your company, such costs may not include
recovery for development, design, or acquisition.
In this case, the provider of the software does
not receive a fee for the inherent value of the
software.
:
[2]
Exporters should note that these provisions do
not apply to software controlled under the International
Traffic in Arms Regulations (e.g., certain encryption
software).
参考訳:§734.7 公開された情報及びソフトウェア (以下抜粋)
§734.7 公開された情報及びソフトウェア
:
(b) ソフトウェア及び情報は、無償又は複製及び流通コスト
を超えない価額で、一般の流通で入手可能な場合、
公開されたとされる。Supplement No.1 問 G(1)から
G(3)を参照しなさい。
(c) 本節の(a)及び(b) 項に関わらず、商務省規制品リスト
(EAR§774 Supplement No.1を参照) の ECCN 5D002の
もとに番号分類される公開された暗号ソフトウェアは、
EAR の対象であることに注意しなさい
(ただし、 ECCN5D002のもとに番号分類される一般に
入手可能な暗号オブジェクトコードソフトウェアの
うち、対応するソースコードが EAR§740.13(e)で指定
される基準を満たしている場合を除く) 。
許可例外 TSUに基づく一般に入手可能な暗号ソースコード
の輸出及び再輸出についての適格要件については、
EAR§740.13(e)を参照しなさい。
:
§734 Supplement No.1 Q&A
− EARの対象となる技術及びソフトウェア
:
G項:ソフトウェア [2]
質問 G(1):
機械可読コード形式のソフトウェアの輸出又は再輸出は、
このソフトウェアのソースコードが一般に入手可能な場合、
EARの対象となりますか?
答:ソフトウェアプログラムのソースコードが一般に入手
可能な場合、ソースコードからコンパイルされた機械可読
コードは、一般に入手可能なソフトウェアであり、従って
EAR の対象とはなりません。
質問 G(2):
複製と流通の原価を超えない価額で販売されるソフトウェア
の輸出又は再輸出は、EARの対象となりますか?
答:機械可読コード形式のソフトウェアが、複製と流通の
原価を超えない価格で一般公衆に入手可能となっている場合、
そのソフトウェアは、publicly available[一般に入手可能]
です。そのような複製と流通原価には、あなたの会社又はサード
パーティのいずれかの流通システムにおける複製及び流通業務
の諸経費の変動費及び固定費並びに通常の利益を含めることが
できます。
あなたの会社において、この原価に開発、設計又は購入品の
回収費を含めることはできません。この場合、ソフトウェア
の供給者は、ソフトウェア固有の価値に対する料金を受け取り
ません。
:
[2] 輸出者は、これらの条項が国際武器管理規則のもとで規制
されるソフトウェア(例えば、特定の暗号ソフトウェア)には
適用されないことに注意しなければならない。
オープンソースのソフトウェアや複製・流通のコストを超えない価格で公に入手可能なソフトウェアはここでの「公開された」状態に該当するということですね。スマホアプリの実行形式をメジャーなアプリケーションストアである App Store や Google Play で配布することはまさに「公開」にあたるでしょう。
ただし、随所で強調されているように商務省規制品リストにおいて「ECCN 5D002」に分類されるソフトウェアは公開状況にかかわらず規制対象となります。ECCN 5D002 は暗号を使用するソフトウェア品目の区分です。
暗号ソフトウェアが規制される理由
EAR が暗号を使用するソフトウェアを特別視し輸出を規制する理由は次のように説明されています。
原文:§ 742.15 ENCRYPTION ITEMS
(EAR Part 742 "Control Policy -- CCL Based Controls" より抜粋)
Encryption items can be used to maintain the secrecy of information, and thereby may be used by persons abroad to harm U.S. national security, foreign policy and law enforcement interests. The United States has a critical interest in ensuring that important and sensitive information of the public and private sector is protected. Consistent with our international obligations as a member of the Wassenaar Arrangement, the United States has a responsibility to maintain control over the export and reexport of encryption items. As the President indicated in Executive Order 13026 and in his Memorandum of November 15, 1996, exports and reexports of encryption software, like exports and reexports of encryption hardware, are controlled because of this functional capacity to encrypt information, and not because of any informational or theoretical value that such software may reflect, contain, or represent, or that its export or reexport may convey to others abroad. For this reason, export controls on encryption software are distinguished from controls on other software regulated under the EAR.
参考訳:§ 742.15 暗号品目
(EAR Part 742 "CCLに基づく規制方針" より抜粋)
暗号品目は、情報の機密保持に用いることができ、これに より、外国にいる者によって米国の国家安全保障、外交政策 及び法執行上の国益を侵害するために用いられる可能性が ある。米国は、公共及び民間分野の重要機密情報が保護される ことを確実にすることに対し重大な関心がある。ワッセナー 協定のメンバーとしての我々の国際的な義務に沿って、 米国は暗号品目の輸出及び再輸出規制を維持する責任を 有している。大統領が大統領令 13026及び 1996年11月15日 の覚書の中で指示した通り、暗号ソフトウェアの輸出及び 再輸出は、暗号ハードウェアの輸出及び再輸出と同様、 当該ソフトウェアの情報を暗号化する機能的な能力のために 規制されているのであって、当該ソフトウェアが反映し、 包含し若しくは表現することができる、或いはその輸出 若しくは再輸出が国外の他の者に伝達することができる情報 の価値又は理論的な価値によって規制されているのではない。 この理由により、暗号ソフトウェアの輸出規制は、EAR の もとに規定されている他のソフトウェアの規制とは区別される。
「ECCN 5D002」とは
前述のように、「5D002」という ECCN は、商務省規制品リストにおける 5 番目のカテゴリ「通信及び情報セキュリティ」に分類されるソフトウェア製品に関する規制品目であることを示しています。 規制品リストの 10 カテゴリの中でこのカテゴリ 5 はそのボリュームのためかふたつのパートに分かれています。カテゴリ 5 の パート 1 は "Telecommunications" (参考訳:"通信")、カテゴリ 5 の パート 2 は "Information Security" (参考訳:"情報セキュリティ")です。5D002 のエントリはパート 2 に含まれています。
原文:Category 5 Part 2 – "INFORMATION SECURITY" D. "SOFTWARE" (以下抜粋)
5D002 “Software” as follows
(see List of Items Controlled)
License Requirements
Reason for Control: NS, AT, EI
Control(s) Country Chart (See Supp. No. 1 to part 738)
NS applies to entire entry NS Column 1.
AT applies to entire entry AT Column 1.
EI applies to “software” in 5D002.a,.c.1, or .d
for equipment
controlled for EI reasons in ECCN 5A002. Refer to
§742.15 of the EAR.
Note: Encryption software is controlled because of its
functional capacity, and not because of any informational
value of such software;
such software is not accorded the same treatment under
the EAR as other “software'; and for export licensing
purposes, encryption software is treated under the EAR
in the same manner as a commodity included in
ECCN 5A002.
Note: Encryption source code classified under this entry
remains subject to the EAR even when made publicly
available in accordance with part 734 of the EAR.
However, publicly available encryption object code
software classified under ECCN 5D002 is not subject to
the EAR when the corresponding source code meets the
criteria specified in §740.13(e), see also
§734.3(b)(3) of the EAR.
List Based License Exceptions (See Part 740 for a
description of all license exceptions)
CIV: N/A
TSR: N/A
ENC: Yes for certain EI controlled software,
see §740.17 of the EAR for eligibility.
List of Items Controlled
Related Controls:
(1) This entry does not control“software”“required”
for the“use”of equipment excluded from control
under the Related Controls paragraph or the
Technical Notes in ECCN 5A002 or“software”providing
any of the functions of equipment excluded from
control under ECCN 5A002. This software is classified
as ECCN 5D992.
(2) After an encryption registration has been submitted
to BIS or classification by BIS, mass market
encryption software that meet eligibility requirements
are released from “EI” and ”NS” controls. This
software is classified under ECCN 5D992.c.
See §742.15(b) of the EAR.
Related Definitions: 5D002.a controls “software”
designed or modified to use “cryptography” employing
digital or analog techniques to ensure“information
security'.
Items:
a. “Software”“specially designed”or modified for
the “development”,“production”or“use”of
equipment controlled by 5A002 or“software”
controlled by 5D002.c;
b. “Software”“specially designed”or modified to
support “technology”controlled by 5E002;
c. Specific “software” as follows:
c.1. “Software” having the characteristics, or
performing or simulating the functions of the
equipment, controlled by 5A002;
c.2. “Software”to certify“software”controlled by
5D002.c.1.
d. “Software”designed or modified to enable an item
to achieve or exceed the controlled performance
levels for functionality specified by 5A002.a that
would not otherwise be enabled.
参考訳:カテゴリ 5 パート 2 - "情報セキュリティ" D. “ソフトウェア“ (以下抜粋)
5D002 "ソフトウェア"であって、次のいずれかに
該当するもの (規制品目リスト参照)
許可要求事項
規制理由:NS、AT、EI
Control(s) Country Chart
(§738 Supp.No.1参照)
NS エントリー全体に適用される。 NS Column 1
AT エントリー全体に適用される。 AT Column 1
EI は、ECCN 5A002 において EI 理由で規制される装置の
ための 5D002.a、.c.1、又は.dに掲げる”ソフトウェア”
に適用される。EAR§742.15を参照のこと。
注:暗号ソフトウェアは、その機能の能力の故に規制され、
当該ソフトウェアの情報価値の故では規制されない;
当該ソフトウェアは、EAR においては、他のソフトウェアと
同じ扱いを受けない;そして、輸出許可でいうところに
おいて、暗号ソフトウェアは、EAR のもとで、ECCN 5A002 に
含まれる貨物と同様に扱われる。
注:このエントリーのもとに番号分類される暗号ソース
コードは、たとえ EAR§734により一般に入手可能にされたと
しても、依然として EAR の対象である。しかし、ECCN 5D002
のもとに番号分類される一般に入手可能な暗号オブジェクト
コードソフトウェアは、対応するソースコードが
EAR§740.13(e)で指定される基準を満たしている場合、EARの
対象とならない(EAR§ 734.3(b)(3)についても参照のこと) 。
リストに基づく許可例外(すべての許可例外の説明について
§740を参照のこと)
CIV: 適用できない。
TSR: 適用できない。
ENC: 特定の EIで規制されるソフトウェアについては Yes、
適格性についてはEAR§740.17を参照のこと。
規制品目リスト
関連規制:
(1) このエントリーは、ECCN 5A002の関連規制欄若しくは
Technical Note に基づいて規制除外される装置の
”使用”のために必要な”ソフトウェア”、又は
ECCN 5A002 に基づく規制から除外される装置の
いずれかの機能を提供する”ソフトウェア”については
規制しない。このソフトウェアは、ECCN 5D992に番号
分類される。
(2) 暗号登録が BISに提出された後、又は BISによる番号
分類の後に、適格性要件を満たすマスマーケット暗号
ソフトウェアは、”EI”及び”NS”規制から除外される。
このソフトウェアは ECCN 5D992.c.に番号分類される。
EAR§742.15(b)を参照のこと。
関連定義:5D002.a は、”情報セキュリティ”を確実にする
ためにデジタル又はアナログ技術を用いた”暗号処理”を
使用するように設計又は改造した”ソフトウェア”を規制する。
品目:
a. 5A002 で規制される装置又は 5D002.c で規制される
"ソフトウェア"の"開発"、"製造"又は"使用"のために
"特別に設計"又は改造した"ソフトウェア";
b. 5E002で規制される”技術”を支援するために"特別に
設計"又は改造した”ソフトウェア”;
c. 特別な”ソフトウェア”であって、次のいずれかに
該当するもの:
c.1. 5A002 で規制される性能を有する"ソフトウェア"
又は5A002で規制される装置の機能を実現する若しくは
機能をシミュレーションする"ソフトウェア";
c.2. 5D002.c.1で規制される”ソフトウェア”を検定する
ための”ソフトウェア”。
d. "ソフトウェア"であって、当該プログラムを用いることに
よってのみ、ある品目が 5A002.a で指定される機能に
ついて規制される性能レベルに到達し、若しくはこれを
超えることを可能にするように設計又は改造したもの。
「カテゴリ 5 パート 2」は情報セキュリティに関わる機器やソフトウェア・部品・回路等に対する規制品のリストであり、セキュリティの維持に不可欠な「暗号」についてとりわけ詳細に言及されています。ECCN 5D002 には暗号を使用するソフトウェアが該当しますが、上記の 5D002 のエントリには他の ECCN への言及が多く単独では規制内容を読み解くことができません。
この 5D002 を知る上でポイントとなるのは「5A002」です。前出のコード体系から、5A002 の「A」が「装置、組立品及び部分品」など主に物理的な機器を指していることが読み取れます。原文・訳文の引用に代え、5A002 での規制内容の核心部分の要約を参考訳から以下に示します。
わかりやすいですね。この内容を頭においてあらためて上の 5D002 エントリの記事に注目してみます。
> 注:暗号ソフトウェアは、その機能の能力の故に規制され、 > 当該ソフトウェアの情報価値の故では規制されない; > 当該ソフトウェアは、EAR においては、他のソフトウェアと > 同じ扱いを受けない;そして、輸出許可でいうところに > おいて、暗号ソフトウェアは、EAR のもとで、ECCN 5A002 に > 含まれる貨物と同様に扱われる。
つまり、5A002 は物理的な機器類に対する規制ではあるけれど、分類上ソフトウェアへの規制である 5D002 はそのソフトウェアの本質的な機能が 5A002 に該当する品目と同等である可能性があるため同等の扱いとしている、ということですね。
さらに、
> 品目:
>
> a. 5A002 で規制される装置又は 5D002.c で規制される
> "ソフトウェア"の"開発"、"製造"又は"使用"のために
> "特別に設計"又は改造した"ソフトウェア";
>
:
>
> c. 特別な”ソフトウェア”であって、次のいずれかに
> 該当するもの:
>
> c.1. 5A002 で規制される性能を有する"ソフトウェア"
> 又は5A002で規制される装置の機能を実現する若しくは
> 機能をシミュレーションする"ソフトウェア";
「c.1」は、5A002 で機器に対して規制している暗号処理機能を実現・再現可能なソフトウェアに対する規制です。暗号処理の本体を含むソフトウェアが該当するものと解釈されます。その形式が単体で実行可能なプログラムであれ、何らかのライブラリであれ、あるいは暗号機能を内蔵するオペレーティングシステムもあってもこれにあてはまるでしょう。
「a」で特に注意したいのは、5A002, 5D002.c で規制される品目を「使用」するソフトウェアに対しても規制をかけている点です。このことは、暗号処理の本体を内蔵せず外部のソフトウェアやオペレーティングシステムの供する暗号機能のみを利用するソフトウェアであっても ECCN 5D002 として等しく規制対象となることを意味します。たとえば、秘匿性の求められるデータの保存やネットワーク通信を行う際に OS 組み込みの暗号機能を使うことは珍しいことではありませんが、原則的にはそういった処理を含むソフトウェアはすべて EAR の規制対象ということになります。
ただし、実際にはこの「カテゴリ 5 パート 2」には当該品目が規制の対象外や例外となる条件も多く付与されています。スマートフォンの普及に伴い米国のアプリケーションストアを利用する開発者・ベンダが急増している状況も相まってこの「カテゴリ 5 パート 2」には世界中から多くの関心が寄せられており、規制内容そのものに加えそういった除外条件も正しく把握されなければなりませんが、残念ながらこの文書には規制緩和の累積の結果か数多くの注釈と別項への言及が含まれておりとても読みにくいものになっています。
「カテゴリ 5 パート 2」判定用フローチャート
そのような事情もあってか、米国商務省は暗号を使用する所定の品目の「カテゴリ 5 パート 2」との関係を判定するためのふたつのフローチャートを公開しています。このフローチャートは複雑な「カテゴリ 5 パート 2」の概要を知る上でも有用です。
先日公開した iOS 用のアプリ「stone for iOS」をこのフローチャートで評価してみます。
※「stone for iOS」は、TCP / UDP パケットリピータ 'stone' を GUI アプリ化したものです。 stone は SSL に対応しており、このアプリは OpenSSL ライブラリをスタティックリンクしそこに含まれる暗号関数を使用しています。 OpenSSL はもとより stone および stone for iOS もオープンソースソフトウェアです。
フローチャート 1
ひとつめのフローチャートは、所定の品目が「カテゴリ 5 パート 2」での規制対象となるか否かを評価するためのものです。ここで規制対象と判定されなければそのまま輸出することができます。そうでなければフローチャート 2 へ進みます。
原文:ITEMS DESIGNED TO USE ENCRYPTION NOT CONTROLLED UNDER CATEGORY 5, PART 2 OF THE EAR
参考訳:(EAR カテゴリ 5 パート 2 で規制されない暗号使用品目)
フローチャート 1 のみっつめの設問にある「注4」の内容を以下に引用します。
原文:「カテゴリ 5 パート 2」の 注4
Note 4: Category 5, Part 2 does not apply to items
incorporating or using “cryptography”and
meeting all of the following:
a. The primary function or set of functions is not any
of the following:
1. “Information security”;
2. A computer, including operating systems, parts
and components therefor;
3. Sending, receiving or storing information (except in
support of entertainment, mass commercial broadcasts,
digital rights management or medical records
management); or
4. Networking (includes operation, administration,
management and provisioning);
b. The cryptographic functionality is limited to supporting
their primary function or set of functions; and
c. When necessary, details of the items are accessible and
will be provided, upon request, to the appropriate
authority in the exporter's country in order to
ascertain compliance with conditions described in
paragraphs a. and b. above.
参考訳:「カテゴリ 5 パート 2」の注4
注4:カテゴリー5−パート 2は、"暗号"を組み込んでいる
又は使用している品目であって、次のすべての条件を
満たすものには適用されない:
a. 品目の主たる機能又は一連の機能が次のいずれにも
該当しないもの:
1. "情報セキュリティー"
[情報システムのセキュリティ管理];
2. コンピュータ(これらのためのオペレーティングシステム、
部品及び部分品を含む) ;
3. 情報の送信・受信または保存(娯楽, 商業放送,
デジタル著作権管理または 医療用の記録管理 の支援の
ためのものを除く);または
4. ネットワーキング(有線若しくは無線回線網による
電気通信回線の運用、管理、及び構築を含む) ;
b. 当該品目の有する暗号機能が当該品目の主たる機能又は
一連の機能の支援のためにのみ用いられているもの;並びに
c. 必要に応じて、上記の a 項及び b 項で定める条件に
適合していることを確認するために、品目の詳細が
アクセスでき、かつ、請求があり次第、輸出国のしかる
べき当局に提示されること。
フローチャート 1 で「stone for iOS」を判定してみる
設問1:
"Is the item designed to use cryptography or does it contain cryptography?"
「その品目は、暗号技術を使用するように設計していますか又は暗号機能を搭載していますか?」
Yes
設問2:
"Is this hardware or software specially designed for medical end use?"
「このハードウェア又はソフトウェアは、医療の最終用途のために特別に設計したものですか?」
No
設問3:
"Is the product described by Note 4?"
「その製品は、注4 により定められるものですか? 」
No
設問4:
"Is the encryption functionality limited to intellectual property or copyright protection functions?"
「その暗号機能は、知的所有権保護又は著作権保護に限定されていますか? 」
No
よって、「stone for iOS」は「カテゴリ 5 パート 2」で規制されます。
フローチャート 2
ふたつめのフローチャートは、「カテゴリ 5 パート 2」の規制対象に該当する品目を分類し、それを輸出するために必要な手続きを判定するものです。
原文:Classifying under an ECCN in Category 5, Part 2
参考訳:(EAR カテゴリ 5 パート 2 のもとでの分類)
このフローチャート 2 の各設問で言及されている記事を以下に引用します。
「5A002 の注」
原文:
「5A002 a.1」 と その Technical Note
原文:
a.1. Designed or modified to use “cryptography”
employing digital techniques performing any
cryptographic function other than authentication,
digital signature, or execution of copy-protected
“software,” and having any of the following:
Technical Notes:
1. Functions for authentication, digital signature
and the execution of copy-protected “software”
include their associated key management function.
2. Authentication includes all aspects of access
control where there is no encryption of files or
text except as directly related to the protection
of passwords, Personal Identification Numbers (PINs)
or similar data to prevent unauthorized access.
3.“Cryptography” does not include “fixed” data
compression or coding techniques.
Note: 5A002.a.1 includes equipment designed or
modified to use “cryptography” employing analog
principles when implemented with digital techniques.
原文:
a.1. デジタル方式の、"暗号処理"技術を用い、認証、
デジタル署名又は複製することを防止された
"ソフトウェア"の実行のため以外の暗号機能を
有するように設計又は改造したものであって、
次のいずれかに該当するもの:
Technical Notes:
1. 認証、デジタル署名及び複製することを防止された
"ソフトウェア"の実行のための暗号機能には、関連
する鍵管理機能を含む。
2. 認証には、不正なアクセスを防ぐためのパスワード、
個人識別番号(PINs)又は類似のデータの保護に直接
関連しないファイル若しくはテキストの暗号化機能
以外のすべてのアクセス制御機能を含む。
3.“暗号処理”には、”固定式”のデータ圧縮又は符号化
技術を含まない。
注: 5A002.a.1 には、デジタル技術を実装したアナログ
方式の”暗号処理”を使用するように設計又は改造した
装置を含む。
「カテゴリ 5 パート 2 の注 3」
原文:
参考訳:
フローチャート 2 で「stone for iOS」を判定してみる
設問1:
"Is the item publicly available encryption source code? "
「その品目は一般に公開されている暗号ソースコードですか?」
Yes
「stone for iOS」は GPL のオープンソースソフトウェアである「stone」を使用しているため当初よりソースコードを公開することを前提としていました。また、実行形式へリンクしている OpenSSL もまた広く知られたオープンソースソフトウェアです。したがって、「stone for iOS」という「暗号ソフトウェア」のソースコードはすべて 一般に入手可能(publicly available)であり、フローチャート 2 の最初の設問への回答は「Yes」となります。矢印の先には次の記述があります。
"Self Classify as 5D002. See License Exception TSU (740.13(e)) for notification requirement"
「5D002 として自己番号分類 届出要求事項について、 許可例外 TSU(§740.13(e))を参照してください。」
つまり、このソフトウェアは ECCN 5D002 に該当するものの「TSU」という許可例外の適用により商務省から輸出許可を取得することなく米国からの輸出が可能ということですね。さっそく許可例外 TSU の内容と適用条件を確認してみましょう。
記事が長くなったためこの続きは後日あらためて掲載します。ちなみに「stone for iOS」はその後 App Store への登録申請時にこちらの希望的観測とは裏腹に実にあっさりと「Export Compliance の不備」を理由にリジェクトされたりもしたのですが(^^;、そういったエピソードもこれから続きの記事に書く予定です。興味のある方はご期待下さい。
「スマホアプリと米国輸出規制に関するメモの続き 」へ
(tanabe)
