株式会社TIMEWELLの安藤義記です。今日は、輸出管理の世界でいま起きている大きな転換について書きます。
米東部時間2026年6月12日17時21分、米政府は大手AI企業に対し、最新AIモデルへの外国籍ユーザーのアクセスを停止せよという輸出管理指令を出しました。止まったのは「貨物」ではなく「AIそのものへのアクセス」です。
対岸の火事ではありません。輸出管理の射程が、静かに、しかし確実に広がっています。米国由来のAIやクラウドを業務で使っている日本企業にとって、これは「いつ自分たちの番が来てもおかしくない」話だからです。
何が起きたのか──AIモデルが、外国籍ユーザーに対して一斉停止
Anthropic社の公式声明と各社報道によると、経緯はこうです。
- 2026年6月12日17時21分(米東部時間)、米政府は国家安全保障上の権限を根拠に、Anthropic社の最新モデル「Fable 5」「Mythos 5」について、米国内外を問わずすべての外国籍者(同社の外国籍従業員を含む)のアクセスを停止するよう指令しました。
- Anthropicは米国ユーザーと外国籍ユーザーをリアルタイムで選別できないため、コンプライアンス確保のために両モデルを全顧客向けに即時無効化しました。他のモデル(Claude Opus 4.8など)は影響を受けていません。
- 政府はFable 5のセーフガードを回避する手法を懸念の理由に挙げたとされますが、具体的な内容は示されなかったと報じられています。
- Anthropicはこれを見解の相違とし、当該手法は既知の軽微な脆弱性に関連するもので、同等の能力は他の公開モデルでも得られると反論。早期のアクセス復旧に取り組むと表明しました。
注目すべきは、停止の線引きが「国籍」ベースだった点です。米国の輸出管理(EAR)には「みなし輸出(deemed export)」、つまり米国内にいる外国籍者への技術提供を、その者の母国への輸出とみなす考え方があります。今回はそれがクラウド上のAIアクセスに適用された形といえます。
ここで日本企業が誤解しやすいポイントを先に潰しておきます。日本の外為法の「みなし輸出」は、米国と違って『国籍』ではなく『居住者/非居住者+特定類型』で判定します(2022年5月施行の明確化)。外国籍でも、居住者で特定類型に該当しなければ原則として対象外です。米国の「国籍ベース」をそのまま日本の実務に当てはめないよう注意してください。
念のため補足すると、私たちTIMEWELL自身もClaudeをはじめとするAIを日々の業務で使っている当事者です。この記事は特定企業を批判するものではなく、「規制の射程が広がった」という事実と、使う側・提供する側双方の備えを実務目線で整理するためのものです。
該非判定の属人化を、AIで解消する。
経産省2024年度データによれば、外為法違反の52%は該非判定起因。TRAFEEDなら、判定時間を約7割削減し、判定根拠を構造化データで保存できます。
なぜこれが「輸出管理の地殻変動」なのか
輸出管理の対象は、歴史的に「物(貨物)」から「技術(データ・ソフトウェア)」へと広がってきました。いま起きているのは、その先の「アクセスそのもの」への拡大です。流れは3つの方向から同時に進んでいます。
AIモデルを「品目」として捉える流れ
2025年1月に米国が公表した「AI Diffusion Rule」では、10の26乗回を超える計算量で訓練されたクローズドな(重み非公開の)先端AIモデルの重みを規制対象とする新区分という考え方が登場しました。これがECCN 4E091です。
ただし、AI Diffusion Rule本体は施行2日前の2025年5月13日に、BISが撤回方針を表明して執行停止となりました(正式な撤回告示・代替ルールは別途)。経緯は既存記事〔AI Diffusion Rule 撤回と代替策──いま日本企業が確認すべき5点〕で詳しく書いています。4E091を含む現行の規制ステータスは流動的です。とはいえ、「AIモデルそのものを輸出管理品目として扱う」という政策の方向性が消えたわけではありません。
クラウド/リモートアクセスを「輸出」とみなす立法
物理的なチップの輸出は止められても、海外からクラウド経由でGPUにアクセスすれば規制を迂回できてしまう。この「クラウドの抜け穴」を塞ぐ法案が動いています。
RASA(Remote Access Security Act/H.R.2683)は、管理対象のGPU計算資源へのリモートアクセス提供を、物理的な輸出と同様に輸出取引として扱い、ライセンスを要求する内容です。同法案は2026年1月12日に米下院を賛成369・反対22で通過しました。上院では関連委員会(銀行・住宅・都市問題委員会)に付託され、2026年6月時点でまだ成立していません。動きの速い領域なので、最新の審議状況は都度確認してください。
「所有」をたどる規制も控えている
エンティティリスト掲載企業に50%以上所有される子会社まで規制が及ぶ「50%ルール(Affiliates Rule)」も、2026年11月10日に再適用される見込みです(現在は1年間の執行停止中)。所有構造をたどって取引先の素性を確認する負担が、これから一段と増えます。
これら3つに共通するのは、「誰が・どの国の技術に・どんな手段でアクセスするか」を企業が能動的に確認する義務が重くなっている、という点です。
日本企業が今すぐ確認すべき3点
繰り返しますが、「米国の話」ではありません。米国由来のAI・クラウド・技術を使う日本企業は、使う側としてのリスクを評価する必要があります。
1. 依存しているAI・クラウドの棚卸し
- どの業務で、どのAIモデル/クラウドを使っているか
- その技術はどの国に由来するか(米国由来技術が一定割合を超えて含まれる外国製品には、デミニミスや直接製品規則を通じて米国規則が及び得ます)
- 止まったときの代替(冗長化)はあるか
今回のように、特定モデルが予告なく無効化されることは現実に起こりました。「このモデルが止まったら、どの業務が止まるか」を一度棚卸ししておくだけで、事業継続の備えが大きく変わります。
2. 「アクセス」の観点でリスクを格付けする
従来の該非判定は「自社製品が規制対象か」を判定するものでした。これに加えて、「自社が使う、あるいは提供するAIアクセスが、誰に対して規制に触れ得るか」という観点が要ります。海外子会社・外国籍従業員・共同研究先への提供は、とくに注意が必要です。
3. 規制・エンティティ更新を継続監視する
エンティティリストは頻繁に更新され、法案も短期間で状況が変わります。RASAも50%ルールも、半年前の知識ではもう足りません。人手ですべての更新を追い続けるのは現実的ではないので、スポットの判定で終わらせず、継続的にウォッチする仕組みが要ります。
AIエージェント(TRAFEED)でどう変わるか
規制の射程が物から技術へ、そしてアクセスへと広がるほど、自社が扱う製品・技術・ソフトウェアを最新の規制に照らして判定し続ける負担は増します。情報量が多く、更新が速く、関係が複雑──人手が最も苦手とする領域です。
私たちTIMEWELLが開発した輸出管理AIエージェントTRAFEED(旧ZEROCK ExCHECK)は、この該非判定そのものを支援します。
- 製品・技術・取引先のつながりを関係チェーン分析で整理し、判定の抜け漏れを拾います。
- 該当の疑いがある箇所は懸念度S/A/B/Cで整理し、懸念度を5秒で可視化。気になった点の一連の調査も最短10分で当たりをつけられます。
- 判断には必ず根拠URL付きのレポートが残るので、監査や社内説明にも耐えます。
- エンティティリストや規制の更新も継続的に反映できるため、「アクセスの時代」に判定を古いまま放置しない運用がつくれます。
AIはあくまで判定の支援です。最終的な該非の判断・申請は、社内の輸出管理責任者が行う前提でご利用ください。
「自社製品の該非判定」を効率化する具体像は、こちらの記事で詳しく解説しています〔該非判定をAIで効率化する──実務担当者の検索課題からの逆算〕。SaaS・クラウド事業者の実務観点は〔SaaS・ソフトウェア企業の輸出管理──みなし輸出・クラウド規制の実務〕にまとめています。
まとめ──「物の輸出」だけ見ていれば済む時代は終わった
- 2026年6月、AIモデルへのアクセスが輸出管理指令で実際に停止された。線引きは「国籍」ベースだった。
- 規制の射程は物から技術へ、さらにアクセスへと広がっている(AIモデルの品目化、RASA=下院通過・上院審議中、50%ルール再適用見込み)。
- 日本企業は使う側のリスクとして、①棚卸し ②アクセス観点の格付け ③継続監視 の3点を今すぐ始めるべき。
この変化に、どう備えるか
「自社が依存しているAIやクラウドは大丈夫か」「アクセスの観点で、何を・誰に対してチェックすればいいのか」。今回の件で、そう感じた方は少なくないと思います。
TIMEWELLのTRAFEED(旧ZEROCK ExCHECK)では、AIエージェントが該非判定と継続監視を支援し、規制が動くたびに判定を古いまま放置しないための運用をつくれます。まずは自社の輸出管理が、この「アクセスの時代」にどこまで対応できているかを確認するところから始めてみてください。
「うちのケースだとどうなるのか」を具体的に相談したい方は、ぜひお気軽にご相談ください。実際の動作をご覧いただける無料デモもご用意しています。
参考文献
- Anthropic. (2026, June 12). Statement on the US government directive to suspend access to Fable 5 and Mythos 5. https://www.anthropic.com/news/fable-mythos-access
- CNBC. (2026, June 12). Anthropic disables access to Fable 5 and Mythos 5 to comply with government directive. https://www.cnbc.com/2026/06/12/anthropic-disables-access-to-fable-5-and-mythos-5-to-comply-with-government-directive.html
- Al Jazeera. (2026, June 13). US orders Anthropic to disable AI models for all foreign nationals. https://www.aljazeera.com/news/2026/6/13/us-orders-anthropic-to-disable-ai-models-for-all-foreign-nationals
- Congress.gov. H.R.2683 - 119th Congress (2025-2026): Remote Access Security Act. https://www.congress.gov/bill/119th-congress/house-bill/2683
- Baker McKenzie. US House Passes Remote Access Security Act. https://sanctionsnews.bakermckenzie.com/us-house-passes-remote-access-security-act/
- Arnold & Porter. (2025, November). U.S. Department of Commerce Officially Suspends Enforcement of the Affiliates Rule for One Year. https://www.arnoldporter.com/en/perspectives/blogs/enforcement-edge/2025/11/doc-suspends-enforcement-of-the-affiliates-rule-for-one-year