こんにちは、株式会社TIMEWELLの濱本です。「うちはSaaSなので輸出管理は関係ない」という言葉を、ここ一年で何度も聞きました。気持ちは分かります。物理的なモノを船で運ぶわけでもなく、倉庫もなく、通関もない。しかし現実には、SaaSやソフトウェアこそ輸出管理の網に深く絡みついている分野です。
このシリーズで業種別の輸出管理を整理してきて、改めて思うのはSaaS事業の特殊さです。モノは動かなくても、技術は動く。暗号アルゴリズムを載せたAPIは、クライアントが海外にいるだけで国境を越えます。海外エンジニアをリモートで雇えば、採用した瞬間にみなし輸出の論点が発生します。さらにISMAPという日本独自の政府調達の関門があり、その基準が2025年末に大幅に改定されました。今回は2026年4月時点の最新情報で、SaaS・ソフトウェア企業が押さえるべき輸出管理の実務を5つの論点に整理します。
SaaSは輸出しているつもりがなくても輸出管理の当事者
SaaS企業が最初につまずくのは、「輸出」の定義です。外為法も米国EARも、物品だけでなく技術と役務を管理の対象にしています。SaaSは物品こそ運ばないものの、技術提供そのものが本業なので、むしろ管理対象の中心に位置しているのです。
米国EAR(Export Administration Regulations)はCategory 5 Part 2で暗号機能を持つソフトウェアを広く管理対象にしており、TLS、VPN、ファイルベースの暗号化、E2E通信のいずれかを実装していれば、5D002や5A002に該当する可能性があります。米国製のライブラリやOSSを組み込んでいれば、de minimis rule(米国原産含有率25%以上、一部国は10%以上)で米国の再輸出管理が日本法人にも及びます。「うちは純国産」と言い切れるSaaSは思ったより少ないのが実情です。
国内法でも、経産省は2013年にクラウドと役務取引に関する通達を出しました。そこで示されたのは「暗号化された状態で国外サーバーに保存・転送されるだけなら役務取引に該当しない」という整理です。ただし、これはあくまでデータの通過の話であって、暗号技術そのものを海外拠点に提供する場合や、復号鍵を海外側で扱う場合は別問題です。
加えて、SaaSは「役務の提供」と「プログラムの提供」のどちらに分類されるかが曖昧になりがちです。月額サブスクでAPIアクセスだけを売るなら役務取引、オンプレ版のインストーラーや仮想アプライアンスを配布するならプログラムの提供に寄ります。両方のモデルを持つ会社は、該非判定をサービスごとに切り分ける必要があります。実際に現場を見ると、ここを一枚のエクセルで管理していて粒度が合わなくなっているケースが多い。日本のSaaS企業はまだ輸出管理のオペレーションが製造業ほど成熟しておらず、経産省の「安全保障貿易管理」の枠組みで考えると、製造業の10年遅れくらいの位置にいると感じます。
ISMAP2026年改定で変わる政府調達とクラウド事業者の対応
国内のSaaS事業者にとって、輸出管理と並んで避けて通れないのがISMAP(政府情報システムのためのセキュリティ評価制度)です。政府調達におけるクラウドサービスのセキュリティ水準を担保する制度で、2020年の運用開始以来、AWS、Microsoft Azure、Google Cloud、IIJ、さくらインターネットなど主要CSPが登録してきました。
ISMAPクラウドサービスリストに載っていないと、各省庁の基盤系システムはもちろん、自治体の一部調達でも入札の土俵に上がれません。これが国内SaaS企業、とくに中堅どころにとって参入障壁になってきました。取得・維持のコストが重すぎるという声は以前から上がっており、2025年12月25日、政府はついに管理基準の全般的改定案を公表しました[^1]。
改定のポイントは二つあります。ひとつは、ISO/IEC 27002:2022の改訂に合わせて管理策を4分類に整理し、クラウド固有の管理策を加えた5分類に再構成したこと。もうひとつは、詳細管理策の項目数を1,081から253へ、およそ4分の1に圧縮したことです。この削減は、チェックリストの軽量化というより、冗長な統制を統合・再定義した結果です。つまり質を落としたのではなく、重複を外したという整理が正しい。
2026年1月にはIIJがクラウド型認証サービス「IIJ IDサービス/アイデンティティ管理オプション」とクラウド型Webセキュリティサービスの追加登録を発表しました[^2]。改定後の運用が本格化するのは2026年度後半からになる見込みですが、ISMAP取得を見送ってきた中堅SaaSにとっては再挑戦のタイミングです。正直なところ、253項目でもハードルは低くない。個社で挑むのではなく、AWS上で動くSaaSならAWSのISMAP登録を前提に自社側で必要な統制に集中する、といった棲み分けが現実解になります。
余談ですが、ISMAPとJC-STAR(IPAが運営するIoTセキュリティラベリング制度)の関係を混同する相談を時々受けます。JC-STARはIoT製品向け、ISMAPはクラウドサービス向けで、対象が違います。JC-STARは2025年3月に★1の申請受付が始まり、2026年1月から★2以上を通信機器やネットワークカメラで開始する予定です[^3]。SaaS単体はJC-STARの対象外ですが、ハードウェア連携型のB2B SaaSを売る会社は両方を意識しておく必要があります。
みなし輸出の落とし穴:海外エンジニア採用が引き金になる
SaaSはエンジニアが価値の源泉です。国内人材だけで回せる会社はもうほとんどなく、インドやベトナム、ウクライナのエンジニアをフルリモートで採用する事例が一般的になりました。ここで立ちふさがるのが、みなし輸出です。
外為法第25条第1項は、日本国内の居住者から非居住者への技術提供を規制技術の「輸出」とみなす仕組みですが、2022年5月1日施行の改正でその運用が明確化されました[^4]。改正の要点は、たとえ居住者であっても、外国政府や外国企業の強い影響下にあるとみなせる人への技術提供は、実質的に非居住者に提供するのと同じと扱われる、という点です。具体的な類型として、外国政府・軍との強い関係性、外国企業の指揮命令下、外国政府からの返還不要奨学金(条件付き)の受給などが挙げられます。
SaaS企業の人事部門が直面するのはこんな場面です。中国籍の優秀なバックエンドエンジニアを雇いたい。本人は日本に長く住んでいて居住者扱いになる。しかし、母国の奨学金で博士号を取り、現在もその資金から条件付きの支援を受けているとなると、2022年改正以降はみなし輸出の管理対象となる可能性が出てきます。採用自体は禁止されていません。必要なのは、該当技術(暗号、AI、防衛関連機能など)へのアクセスを設計上制御し、事前に経産省への許可申請の要否を判断する仕組みです。
2025年1月31日には、経産省が政省令の改正案を公表し、補完的輸出規制の見直しが2025年10月9日に施行されました[^5]。ここではキャッチオール規制が強化されており、みなし輸出の判断にも影響します。SaaS企業で今取り組むべきは、採用時のチェックリストに「海外政府・軍・外国企業との関係性」「資金源」「現在の居住地と渡航履歴」を加え、誓約書と同意書を整備することです。さらにGitHubのブランチ権限、Snowflakeのロール、Kubernetesの名前空間といったレベルで、人材属性に応じてアクセス範囲を絞れる設計が必要になります。
みなし輸出の基本と実務 の記事でも詳しく書きましたが、みなし輸出は「採用した後に気づく」パターンが一番怖い。気づいたときには、すでにソースコードリポジトリに触られていて、証拠も残っていて、後戻りが効かない。人事と開発組織と法務が同じテーブルで議論できる体制があるかどうかが、実質的な防波堤になります。
データ保管先・暗号技術・API経由提供の三点セット
SaaSの輸出管理を語るとき、データ保管先、暗号技術、API経由提供の三つは切り離せません。個別には議論されていても、実務ではセットで設計しないと穴が開きます。
まずデータ保管先について、日本では個人情報保護法の観点で保管場所の規制はありません。ただし、個人データを国外に保管する場合は当該国の個人情報保護制度を確認し、安全管理措置を講じる義務があります(法第28条)。政府情報システムの場合はデジタル社会推進標準ガイドラインDS-310(2023年9月)が適用され、ガバメントクラウドは国内閉域利用を原則としています[^6]。興味深いのは、要保護情報であってもCRYPTREC暗号リスト(電子政府推奨暗号)に掲載されたアルゴリズムで暗号化され、かつ鍵が利用者側または耐タンパー装置で管理されていれば、必ずしも国内データセンターである必要はないという整理が示されていることです。つまり暗号と鍵管理をきちんとやれば、AWSの海外リージョンも選択肢になり得ます。
次に暗号技術です。EARのCategory 5 Part 2では、対称鍵128bit超や非対称鍵2048bit超などの基準を満たす暗号ソフトウェアが管理対象となります。AES-256、RSA-4096、ECCといった現代的なアルゴリズムはほぼすべて引っかかる水準です。日本のSaaS企業が自前で実装しているケースは少なく、実態としてはAWS KMS、Azure Key Vault、Google Cloud KMSの機能を利用することが多い。この場合、輸出管理上の責任の切り分けが重要です。CSPはインフラ層で該非判定と届出を済ませていますが、アプリケーション層で追加の暗号機能を実装していれば、そこは自社の責任で該非判定する必要があります。
三つ目がAPI経由提供です。SaaSのエンドポイントに海外からアクセスさせる行為は、経産省通達の整理では「暗号化されたデータの通過」とは別の話で、機能の提供それ自体が役務取引に該当し得ます。具体的には、APIの仕様書や技術マニュアルを海外顧客に提供する行為、カスタマーサクセスとして海外エンジニアに実装支援をする行為、共同開発で技術ノウハウを出す行為、これらはすべて役務取引の論点です。通常兵器・大量破壊兵器のキャッチオール規制との関係では、顧客が制限対象国や懸念エンドユーザーに該当しないかのスクリーニングが必須になります。
この三点セットを手作業のエクセル管理で回すのは、正直もう限界です。私たちが提供するTRAFEED(旧ZEROCK ExCHECK)は、取引先スクリーニング、該非判定支援、テクニカル情報の管理を一気通貫で回すAIエージェントで、世界初のAIベース輸出管理ツールとして経産省基準に準拠した運用を実現しています。SaaS企業が自社のSaaSを守るためにSaaSを使う、やや入れ子の構造ですが、手間を劇的に減らせる実感があります。
AI SaaSは「AI Diffusion撤回後」も油断できない
2025年1月、バイデン政権は「Framework for Artificial Intelligence Diffusion」を公表しました。AIモデルの重みと先端計算チップの流通を規制する壮大な枠組みで、IaaS(Infrastructure as a Service)経由でのアクセス制御まで踏み込んだ内容です。多くのAI SaaS企業が身構えたのを覚えています。
しかし2025年5月、施行直前にトランプ政権のBISはこれを撤回しました。撤回自体は正式な手続きを踏んだもので、2025年12月8日にはトランプ大統領が中国の承認済み顧客向けに一部チップ販売を許可する方針を表明、2026年1月13日にはBISが新しい最終規則を発行して、中国本土・香港・マカオ向けチップ輸出を「原則不許可」から「ケースバイケース審査」に切り替えました[^7]。ここだけを見ると規制緩和に映ります。
ところが、AI SaaSに関係する部分は必ずしも緩んでいません。2025年1月ルールの撤回後も、既存のPart 744規制や2024年10月の拡張ルールは生き残っており、ベラルーシ、中国、キューバ、イラン、マカオ、北朝鮮、ロシア、ベネズエラを拠点または最終親会社とする「IaaS remote end users」へのリモートアクセス提供は依然として制限対象です。大規模言語モデルをAPIで提供する日本のAI SaaSが、中国本土のスタートアップにAPIキーを発行するだけでも論点が発生します。ユーザー登録時のKYC(Know Your Customer)、IPアドレスのジオブロック、トークン利用制限、監査ログの保持、これらをセットで設計する必要があります。
個人的には、AI Diffusion Ruleの撤回は「枠組みとしては撤回」「個別規制としては継続強化」と読み解くのが正しいと考えています。表面的な緩和ニュースに引きずられて「うちのAI SaaSは関係ない」と判断すると、後から重いペナルティを食らう可能性があります。EARの違反は最高で取引額の2倍または35万ドルの罰金、米国市場からの排除、SDNリスト掲載といった経営リスクに直結します。
日本国内でも、経産省はAI・半導体・クラウドを含む輸出管理の2026年改正 のように、AIとクラウドAPIを明示的に管理対象として扱う方向に舵を切っています。先日まとめた外国自治体・公共セクター向け中国製IT排除の動向 とも連動して、日本のAI SaaSが国内政府調達・自治体市場で生き残るには、輸出管理の整備が先行投資になりつつある。これは「やれば差別化」ではなく「やらなきゃ足切り」の世界に変わってきました。
2026年のSaaS輸出管理に今日から取り組むなら
ここまで5つの論点を見てきて、共通するのは「SaaSは気づかないうちに当事者になっている」という構造です。製造業のように物理的な通関がないため、輸出管理の発動点が見えづらい。その見えづらさこそが最大のリスクで、ひとたび発覚すれば、顧客離れとブランド毀損は物品の不正輸出以上に深刻になります。
現場で今日から始められる取り組みとしては、まず自社SaaSの該非判定をプロダクト単位で更新すること。EAR該当性、外為法該当性、暗号技術の分類、この三つの結果を一覧で持つだけで、社内の議論が前に進みます。次に採用プロセスに海外人材のみなし輸出チェックを組み込むこと。人事単独ではなく、法務と開発組織を巻き込んで、採用後のアクセス制御設計までセットで回す。三つめにISMAPの再評価です。2026年度から新基準が動き始めるので、これまで諦めてきた会社も再挑戦の価値が出てきます。
そして四つめ、取引先スクリーニングの仕組み化です。手作業では制裁リストの更新に追いつけず、漏れが必ず発生します。TRAFEEDのようなAIエージェントに任せ、人はレビューと判断に集中する形が現実的です。SaaSという業態そのものが、手作業では守り切れないスピードで動くビジネスになった以上、輸出管理のオペレーションも同じ速度で回せる仕組みが必要です。
輸出管理は「攻めの経営」と相性が悪いと思われがちですが、この3年の米中対立、経済安全保障の潮流、EU AI Act、日本のキャッチオール強化を見ていると、むしろ輸出管理を整備した会社こそ海外展開を加速できる、という構図に変わってきました。守りの投資ではなく、海外市場に出ていくための土台として捉え直す。SaaS企業にとって、2026年はその転換点になると私は見ています。
参考文献
[^1]: PwC Japan「ISMAPの新たな展開 〜ISMAP管理基準の全般的な改定とISMAPの今後の見通しについて〜」 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/explanation-of-ismap2.html
[^2]: IIJ「クラウド型認証サービスおよびクラウド型Webセキュリティサービスが、政府情報システムのためのセキュリティ評価制度(ISMAP)に登録」2026年1月13日 https://www.iij.ad.jp/news/pressrelease/2026/0113.html
[^3]: IPA「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」 https://www.ipa.go.jp/security/jc-star/index.html
[^4]: 経済産業省貿易管理部「みなし輸出管理の運用明確化について」 https://www.meti.go.jp/policy/anpo/law_document/minashi/meikakukanitsuite2.pdf
[^5]: EY Japan「経産省が政省令改正案を公表 -キャッチオール規制の改正を含む安全保障貿易管理の強化-」 https://www.ey.com/ja_jp/technical/ey-japan-tax-library/tax-alerts/2025/tax-alerts-02-06-03
[^6]: デジタル庁「デジタル社会推進標準ガイドラインDS-310 政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5167e265/20230929_resources_standard_guidelines_guideline_01.pdf
[^7]: US Studies Centre「The US AI Diffusion Rule: What is it, why did the United States rescind it, and implications for Australia」 https://www.ussc.edu.au/the-us-ai-diffusion-rule