- 2/5/2021
-
- r
5分で読める
EARについて
米国商務省産業保安局 (BIS) により輸出管理規制 (EAR) を執行しています。 EARは、商業および軍事目的の両方に使用できる「二重用途」品目や特定の防衛品目を含む、ほとんどの商業品、ソフトウェア、および技術の輸出と再輸出を広く管理し、規制を課しています。
BISのガイダンスでは、データやソフトウェアがクラウドにアップロードされたりユーザーノード間で転送されたりする場合、クラウドプロバイダではなく顧客が、そのデータやソフトウェアの転送、保管、アクセスを確実にEARに準拠させる責任を有する「輸出者」であるとしています。 EARは、
- 米国からの輸出、
- 米国原産品および米国原産品が極小量以上含まれる特定の外国原産品の再輸出または再送付を規制しています。
- 他国の人物への譲渡または開示。
EARの対象となる品目は、各品目に固有の輸出規制分類番号(ECCN)が割り当てられた商業規制リスト(CCL)上で見つけることができます。 CCLに記載されていない品目はEAR99として指定され、ほとんどのEAR99の商用製品は輸出するためのライセンスは必要ありません。 しかし、品目の仕向地、エンドユーザー、または最終用途によっては、EAR99品目であってもBIS輸出ライセンスが必要となる場合があります。
2016年6月に発表された最終規則では、FIPS 140-2検証済み暗号モジュールを使用してエンドツーエンドで暗号化されており、軍事禁輸国またはロシア連邦に意図的に保管されていなければ、非分類技術データおよびソフトウェアの転送および保管にもEARライセンス要件が適用されないことを明確にしています。
Microsoft and the EAR
Microsoft のテクノロジー、製品、およびサービスは、米国の輸出管理規則 (EAR) の対象です。 EARに対するコンプライアンス認証はありませんが、Microsoft Azure、Microsoft Azure Government、Microsoft Office 365 Government (GCCHigh および DoD 環境) は、EARの対象となる適格な顧客が輸出管理リスクを管理し、コンプライアンス要件を満たすための重要な機能とツールを提供しています。
EAR を施行する米国商務省は、Microsoftなどのクラウドサービスプロバイダではなく、顧客が自身の顧客データの輸出業者であると見なされるという立場を示しています。 ほとんどの顧客データはEARの輸出規制の対象となる「技術」または「技術データ」とはみなされませんが、マイクロソフトの対象範囲内のクラウドサービスは、顧客が直面する潜在的な輸出規制リスクを管理し、大幅に軽減できるような仕組みになっています。 マイクロソフトは、一般的に、適格なお客様には政府機関向けクラウドサービスの利用を推奨しています(ただし、これに限定されるものではありません)。 適切な計画を立てれば、お客様は以下のツールと独自の内部手続きを使用して、米国の輸出規制の完全な遵守を確保することができます。
- データの場所に関する管理。 顧客は、データがどこに保存されているかを可視化し、その保存を制限するための堅牢なツールにアクセスすることができます。 そのため、顧客はデータが米国内に保存されていることを確認し、管理された技術や技術データの米国外への移転を最小限に抑えることができます。 さらに、顧客データは、データが「意図的に保存される」場所に関するEARの禁止事項と一致して、不適合な場所には保存されません。Azureデータセンターは、グループD:5 25カ国またはロシア連邦のいずれにも配置されていません。 EARで指定されている物理的な保管場所に対するエンドツーエンドの暗号化セーフハーバーを利用することで、マイクロソフトの対象範囲内のクラウドサービスは、輸出規制リスクから保護するのに役立つ暗号化機能を提供します。 また、転送中および保存中のデータを暗号化するための幅広いオプションと、暗号化オプションの中から選択する柔軟性を顧客に提供します。
- 無許可のみなし輸出を防止するためのツールとプロトコル。 暗号化の使用は、EARに基づくみなし輸出(またはみなし再輸出)の可能性に対する保護にも役立ちます。なぜなら、米国以外の人が暗号化されたデータにアクセスしたとしても、暗号化されている間はデータを読んだり理解したりできなければ何も明らかにならず、管理対象データの「解放」がないからです。
Microsoft in-scope cloud services
- Azure and Azure Government
- Office 365 Government (GCC-High and DoD)
- Intune
実装方法
米国輸出管理の概要および EAR の下で義務を評価するお客様向けのガイダンスです。
- Azure
- Office 365
Frequently asked questions
Microsoft クラウド サービスを使用する際に輸出規制に準拠するには何をすべきか?
EAR では、データが Microsoft クラウドなどのクラウドサーバーにアップロードされると、データを所有している顧客 – クラウド サービスのプロバイダーではなく – が輸出者として考慮されます。 そのため、データの所有者、つまりマイクロソフトの顧客は、マイクロソフトのクラウドの利用が米国の輸出規制にどのように関わるかを慎重に評価し、そこで使用または保存しようとするデータがEAR規制の対象となり得るか、対象となる場合はどのような規制が適用されるかを判断しなければなりません。 Azure および Office 365 クラウド サービスを使用することで、顧客が米国輸出規制に完全に準拠できるようにする方法について、詳細をご覧ください。
Microsoft のテクノロジー、製品、およびサービスのほとんどは、
- EAR の対象ではなく、したがって、通商規制リストに載っておらず、ECCN がない、
- または EAR99 または 5D992 Mass Market-eligible for self-classification by Microsoft で、No License Required (NLR) としてライセンスなしで非禁輸国へ輸出可能です。
ただし、いくつかのマイクロソフト製品には、ライセンスが必要な場合と不要な場合のあるECCNが割り当てられています。 EAR または弁護士に相談し、適切なライセンスの種類と輸出目的の適格国を決定してください。
EAR と国際武器取引規制 (ITAR) の違いは何ですか?
最も広範囲に適用される米国の主要輸出規制は、米国商務省が管理する EAR です。 EARは、商業的および軍事的用途の両方を持つデュアルユース品目と、純粋に商業的用途の品目に適用されます。
米国には、ITARなど、より専門的な輸出管理規制もあり、最も敏感な品目や技術に適用されます。 米国国務省によって管理され、関連する技術データを含む多くの軍事、防衛、諜報品(「防衛品」とも呼ばれる)の輸出、一時輸入、再輸出、移転に規制をかけています。