EAR について
米国商務省は 、産業安全保障局 (BIS) を通じて輸出管理規則 (EAR) を適用します。 EAR は、商業および軍事目的と特定の防衛アイテムの両方に使用できる「デュアルユース」項目を含む、ほとんどの商用製品、ソフトウェア、および技術の輸出と再輸出に関する制御を広範に管理し、課します。
BIS ガイダンスでは、クラウドにデータまたはソフトウェアをアップロードしたり、ユーザー ノード間でデータまたはソフトウェアを転送したりする場合、ユーザーは "エクスポーター" であり、そのデータまたはソフトウェアへの転送、ストレージ、アクセスが EAR に準拠していることを保証する責任があります。
BISによると、輸出とは、保護された技術または技術データを外国の目的地に移転すること、または米国内の外国人へのその解放(みなし輸出とも呼ばれる)を指す。 EAR は大まかに次を管理します。
- 米国からエクスポートします。
- 米国の配信元の項目と、米国の配信元のコンテンツの ミニミス 部分を超える特定の外部配信元アイテムを再エクスポートまたは再送信します。
- 他の国または地域のユーザーへの移転または開示。
EAR の対象となる項目は、コマースコントロールリスト (CCL) で見つけることができます。各項目には一意の エクスポート制御分類番号 (ECCN) が割り当てられます。 CCL に記載されていない項目は EAR99 として指定されており、ほとんどの EAR99 商用製品は、ライセンスのエクスポートを必要としません。 ただし、項目の宛先、エンド ユーザー、またはエンド ユースによっては、EAR99 項目であっても BIS エクスポート ライセンスが必要になる場合があります。
2016 年 6 月に公開された 最後の規則では、FIPS 140-2 検証済み暗号化モジュールを使用してエンドツーエンドで暗号化され、軍事禁輸国または地域またはロシア連邦に意図的に格納されていない場合、EAR ライセンス要件は、未分類の技術データとソフトウェアの転送とストレージにも適用されていないことが明らかになっています。
Microsoft と EAR
Microsoft のテクノロジ、製品、およびサービスは、米国輸出管理規則 (EAR) の対象となります。 EAR のコンプライアンス認定はありませんが、Microsoft Azure、Microsoft Azure Government、Microsoft Office 365 Government (GCC High and DoD 環境) には、EAR の対象となる適格な顧客が輸出管理リスクを管理し、コンプライアンス要件を満たすのに役立つ重要な機能とツールが用意されています。
EAR を適用する米国商務省は、Microsoft などのクラウド サービス プロバイダーではなく、顧客が自分の顧客データの輸出者と見なされる立場を取ります。 ほとんどの顧客データは、EAR エクスポート制御の対象となる "テクノロジ" や "技術データ" とは見なされませんが、Microsoft のスコープ内クラウド サービスは、顧客が直面する潜在的な輸出管理リスクを管理し、大幅に軽減できるように構成されています。 Microsoft では一般に、対象となるお客様に対して政府機関向けのクラウド サービスを使用することをお勧めします。ただし、排他的ではありません。 適切な計画により、お客様は次のツールと独自の内部手順を使用して、米国の輸出管理に完全に準拠することができます。
- データの場所に関するコントロール。 お客様は、データの保存場所を可視化し、堅牢なツールにアクセスしてストレージを制限します。 データが米国に格納されていることを確認し、制御されたテクノロジまたは技術データの米国外への転送を最小限に抑えることができます。 さらに、顧客データは、25 グループ D:5 の国/地域またはロシア連邦のいずれかにAzureデータセンターが存在しないという EAR の禁止と一致して、不適合の場所に格納されません。
- エンドツーエンドの暗号化。 EAR で指定された物理ストレージの場所に対してエンドツーエンドの暗号化セーフ ハーバーを利用することで、Microsoft のスコープ内クラウド サービスは、エクスポート制御リスクから保護するのに役立つ暗号化機能を提供します。 また、転送中および保存中のデータを暗号化するための幅広いオプションと、暗号化オプションの中から柔軟に選択できるオプションも提供しています。 詳細については、次を参照してください。
- 承認されていないと見なされるエクスポートを防ぐためのツールとプロトコル。 暗号化の使用は、米国以外の人が暗号化されたデータにアクセスできる場合でも、暗号化されている間にデータを読み取ったり理解したりできない場合は何も明らかにされないため、EAR の下で潜在的なみなしエクスポート (または再エクスポートと見なされる) から保護するのにも役立ちます。したがって、制御されたデータの 'リリース' はありません。
Microsoft のスコープ内のクラウド プラットフォームとサービス
- Azure および Azure Government
- Office 365 Government (GCC-High と DoD)
- Intune
よく寄せられる質問
Microsoft クラウド サービスを使用する場合は、エクスポートコントロールに準拠するために何を行う必要がありますか?
EAR では、Microsoft クラウドなどのクラウド サーバーにデータをアップロードすると、顧客およびデータ所有者は、クラウド サービス プロバイダーではなく、エクスポーターと見なされます。 そのため、Microsoft クラウドの使用が米国のエクスポート制御にどのように影響するかを慎重に評価する必要があります。 クラウドで使用または格納するデータのいずれかが EAR コントロールの対象かどうかを判断し、該当するコントロールを特定します。 クラウド サービスのAzureとOffice 365が、米国のエクスポート制御に完全に準拠していることを確認する方法について説明します。 詳細については、「 Microsoft 製品のエクスポート」の「よく寄せられる質問」ページの「クラウドに関する FAQ」セクションを参照してください。
Microsoft のテクノロジ、製品、サービスは EAR の対象ですか?
ほとんどの Microsoft のテクノロジ、製品、サービスは次のいずれかです。
- EAR の影響を受けないため、コマースコントロールリストに含まれず、ECCN がありません。
- または、EAR99 または 5D992 Mass Market は、Microsoft による自己分類の対象となり、ライセンス不要 (NLR) としてライセンスなしで非禁輸国または地域にエクスポートできます。
一部の Microsoft 製品には、ライセンスが必要な ECCN が割り当てられている場合があります。 EAR または法律顧問に問い合わせて、輸出目的で適切なライセンスの種類と適格な国または地域を決定してください。
EAR と国際武器規制 (ITAR) の違いは何ですか?
最も広範なアプリケーションを使用する米国の主要な輸出管理は、米国商務省によって管理される EAR です。 EAR は、商用アプリケーションと軍事アプリケーションの両方を持つデュアルユースアイテムと、純粋に商用アプリケーションを持つアイテムに適用されます。
また、米国には、最も機密性の高い項目とテクノロジを管理する、ITAR などの個別のより特殊な輸出管理規制もあります。 米国国務省によって管理されているこれらの規制は、関連する技術データを含む多くの軍事、防衛、および諜報項目(別名「防衛記事」)の輸出、一時的な輸入、再輸出、移転に関する規制を課します。