ソフトウェア・技術が輸出管理の対象になる理由
輸出管理の対象は、有形の「貨物」だけではありません。ソフトウェアのプログラムや技術データといった無形のものも、外為法の規制対象です。
具体的には、輸出貿易管理令(貨物の規制)の対象にソフトウェアを記録した媒体が含まれるほか、外国為替令(技術の規制)の対象にソフトウェア自体やその設計情報が含まれます。
高性能な暗号ソフトウェア、数値制御プログラム、シミュレーションソフトなどが規制の対象となり得ます。IT企業やソフトウェア開発企業であっても、輸出管理は無関係ではありません。
ソフトウェアの輸出管理の法的根拠
貨物としてのソフトウェア
ソフトウェアを記録した物理媒体(DVD、USB等)を海外に持ち出す場合は、輸出貿易管理令に基づく貨物の輸出として扱われます。
技術としてのソフトウェア
ソフトウェアのソースコード、設計情報、アルゴリズムの詳細などを非居住者に提供する場合は、外国為替令に基づく技術の提供(役務取引)として扱われます。
メールでの送信、クラウドストレージでの共有、オンライン会議での画面共有など、提供の手段は問いません。電子的な送信であっても、規制対象技術であれば許可が必要です。
ソフトウェアの該非判定の考え方
判定の基本フロー
ソフトウェアの該非判定は、以下の手順で進めます。
- 対象の特定: 輸出(提供)するソフトウェアの機能と仕様を明確にする
- リスト規制との照合: 輸出貿易管理令別表第1の各項目にある「プログラム」の記載を確認する
- パラメータの確認: 暗号の鍵長、処理速度、精度などの技術パラメータが規制値に該当するか確認する
- 判定結果の記録: 該当・非該当の判定理由を文書化する
ソフトウェアが規制対象となる主な分野
| 分野 | 規制の対象例 | 関連する項番 |
|---|---|---|
| 暗号 | 暗号アルゴリズムの実装、暗号解析ツール | 第9項 |
| 数値制御 | 工作機械の制御プログラム、CAD/CAMソフト | 第6項 |
| 画像処理 | 高精度の画像認識・解析ソフト | 第10項 |
| シミュレーション | 流体力学、構造解析、核関連のシミュレーション | 第2項、第4項等 |
| 通信 | 特定の通信プロトコル実装、スペクトラム拡散技術 | 第9項 |
| 情報セキュリティ | 侵入検知システム、脆弱性解析ツール | 第9項 |
暗号技術の規制
暗号はソフトウェアの輸出管理で最も頻繁に問題となる分野です。ワッセナー・アレンジメントの規制品目に含まれており、日本では輸出貿易管理令別表第1の第9項で規制されています。
規制の対象かどうかは、主に以下の要素で判断します。
- 暗号アルゴリズムの種類: 対称鍵暗号、非対称鍵暗号、ハッシュ関数など
- 鍵長: 一定以上の鍵長を持つ暗号は規制対象となる可能性がある
- 用途: 認証のみに使用される暗号は一部除外される場合がある
ただし、市販の暗号ソフトウェア(いわゆるマスマーケット製品)については、一定の条件を満たせば規制の対象外となる特例があります。
クラウドサービスと輸出管理
クラウド経由の技術提供
クラウドサービスを通じた技術提供は、現代の輸出管理における重要な論点です。
規制対象の技術データをクラウドストレージにアップロードし、海外の非居住者がアクセスできる状態にした場合、そのアップロードの時点で「技術の提供」が行われたと解釈されます。
判断のポイント
クラウドサービスにおける輸出管理の判断は、以下の要素に基づきます。
規制対象となるケース:
- 規制対象の技術データを非居住者がアクセスできるクラウドに保存する
- 海外拠点の従業員に規制対象ソフトウェアへのアクセス権を付与する
- SaaSとして提供するソフトウェアに規制対象の暗号機能が含まれる
規制対象外となるケース:
- アクセス制御により非居住者がアクセスできない設定にしている
- 公知の技術のみがクラウド上に保存されている
- クラウドサービス自体は技術の「運搬手段」にすぎず、提供される技術が非該当である
CISTECの見解
CISTECは、クラウドコンピューティングサービスにおける輸出管理について見解を公表しています。クラウドサーバーの物理的な所在地ではなく、技術の提供先(アクセスする者)が非居住者かどうかが判断の基準となります。
オープンソースソフトウェア(OSS)の扱い
オープンソースソフトウェアは、一般に「公知の技術」として輸出管理の対象外と考えられています。ただし、以下の点に注意が必要です。
- 公開されたソースコード: GitHubなどで誰でもアクセスできるソースコードは公知の技術に該当する
- カスタマイズ版: OSSを基に独自のカスタマイズや機能追加を行った部分は、公知の技術とは言えない場合がある
- 未公開の設計情報: OSSの開発過程で生成された未公開の設計文書やテスト結果は規制対象となり得る
実務上の注意点
社内での技術管理
ソフトウェアや技術データは、有形の貨物と異なり、コピーや送信が容易です。そのため、以下の管理が必要です。
- アクセス権限の管理: 規制対象技術へのアクセスを業務上必要な者に限定する
- データの分類: 社内の技術データを規制対象と非対象に分類し、表示を徹底する
- 送信経路の管理: メールやクラウドでの技術データ送信に承認プロセスを設ける
- 持ち出し管理: PCやUSBの海外持ち出し時に、格納されている技術データを確認する
海外出張時の注意
技術者が海外出張する際、ノートPCやスマートフォンに規制対象の技術データが含まれている場合、それを持ち出すこと自体が輸出に該当します。出張前に格納データの該非確認を行い、必要な場合は許可を取得します。
ソフトウェアのアップデートと輸出管理
既に海外に提供したソフトウェアのアップデートやバグフィックスについても、内容によっては新たな技術提供として許可が必要になる場合があります。アップデートに規制対象の機能追加が含まれるかどうかを事前に確認します。
ソフトウェアの該非判定を効率化するには
ソフトウェアの該非判定は、技術仕様の理解と法令の解釈の両方が求められるため、担当者の負担が大きい業務です。特に、暗号機能を持つソフトウェアや、複数の規制項目にまたがる可能性がある製品の判定は専門性が高くなります。
EX-Checkは、ソフトウェアを含む幅広い品目の該非判定をAIで支援するツールです。製品の技術仕様を入力すると、リスト規制の各項目との照合を自動で行い、判定結果を根拠とともに提示します。暗号に関する規制項目への対応も含まれており、ソフトウェア特有の判定にも活用できます。経済産業省の基準に準拠しているため、判定記録としても信頼性があります。
まとめ
- ソフトウェアやプログラムは輸出貿易管理令・外国為替令の両方で規制対象となる
- 該非判定では暗号の鍵長、処理精度などの技術パラメータが判断基準
- クラウド経由の技術提供は、非居住者がアクセスできる状態にした時点で「提供」とみなされる
- オープンソースソフトウェアは原則として公知の技術だが、カスタマイズ部分は規制対象となり得る
- 海外出張時のPC持ち出しやソフトウェアのアップデートにも輸出管理の視点が必要
- アクセス権限の管理、データの分類、送信経路の管理が実務上の基本対策