クラウドコンピューティングに関する通達及びQ&Aについて

Similar documents
Microsoft Word associate(正解用).docx

PowerPoint プレゼンテーション

経済産業省経済協力局貿易管理部

政省令等改正(2013年10月15日施行予定)の概要

特定個人情報の取扱いの対応について

個人情報保護法の3年ごと見直しに向けて

( 注 ) 役務の提供を受ける者の本店又は主たる事務所が日本にあれば課税 ということですので 国内に本店がある法人の海外支店に対して インターネットを介してソフトウェア等を提供した場合は 提供者が国内 国外いずれの事業者であっても国内取引に該当し消費税が課税されます ( 国税庁作成の 国境を越えた役

Microsoft Word Advanced問題解説(公表用).docx

はじめてのマイナンバーガイドライン(事業者編)

安全保障輸出管理

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

版 知る前契約 計画 に関する FAQ 集 2015 年 9 月 16 日 有価証券の取引等の規制に関する内閣府令が改正され いわゆる 知る前契約 計画 に係るインサイダー取引規制の適用除外の範囲が拡大されています 日本取引所自主規制法人に寄せられる 知る前契約 計画 に関する主な

社会福祉法人○○会 個人情報保護規程

Microsoft Word - 【施行②】第50条解釈適用指針Rev4.doc

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

<4D F736F F F696E74202D A5994F194BB92E893FC96E5202D208FAC96EC82B382F18DEC90AC8CB488C42E707074>

<90BB95698A5994F194BB92E88E518D6C8E9197BF28918D955C E786C73>

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

平成 26 年 3 月 6 日千葉医療センター 地域医療連携ネットワーク運用管理規定 (Ver.8) 千葉医療センター地域医療連携ネットワーク運用管理規定 第 1 章総則 ( 目的 ) 第 1 条この運用管理規定は 千葉医療センター地域医療連携ネットワーク ( 以下 千葉医療ネットワーク ) に参加

Microsoft Word Advanced(試験用).docx

個人情報の保護に関する規程(案)

ESET Smart Security 7 リリースノート

(Microsoft Word - \201iAL\201jAG-Link\227\230\227p\213K\222\350.doc)

安全保障輸出管理とは?  河合孝尚

一般社団法人北海道町内会連合会定款変更(案)

<4D F736F F D E63188C4816A8D4C93878CA78BC696B18AC7979D91CC90A78A6D94468C9F8DB88EC08E7B97768D6A816989FC90B38CE3816A2E646F63>

個人情報管理規程

Microsoft Word - 【発送版】製造所の登録通知

1. のれんを資産として認識し その後の期間にわたり償却するという要求事項を設けるべきであることに同意するか 同意する場合 次のどの理由で償却を支持するのか (a) 取得日時点で存在しているのれんは 時の経過に応じて消費され 自己創設のれんに置き換わる したがって のれんは 企業を取得するコストの一

個人データの安全管理に係る基本方針

個人情報保護規定

果を確認します クロスワープ CONTENTS SECURITY サービスが検索 監視の対象とする 百度文庫 (URL: ) は 検索エンジンを運営する中華人民共和国の 百度社 ( バイドゥ社 ) が提供しているファイル共有 保存用のプラットフォームで

<4D F736F F D FC194EF90C C98AD682B782E >

14個人情報の取扱いに関する規程

借上くんマイナンバー制度対応

スライド 1

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

< F2D8EE888F882AB C8CC2906C>

<4D F736F F D208E52979C8CA C78E F88979D8BC68ED E882C98C5782E98E9696B18F88979D977697CC2E646F63>

財団法人日本体育協会個人情報保護規程

Transcription:

クラウドコンピューティングサービスに関する役務通達改正について CISTEC 輸出管理委員会事務局 6 月 21 日に 経済産業省からクラウドコンピューティングサービスに関する 外国為替及び外国貿易法第 25 条第 1 項及び外国為替令第 17 条第 2 項の規定に基づき許可を要する技術を提供する取引又は行為についての一部を改正する通達 ( 以下 改正役務通達 と記載 ) が公布されました 改正役務通達の内容を4 月 9 日に公示された意見公募の際の内容と比べつつ解説し さらに新たに経済産業省のホームページで公表された Q&A 及び CISTEC のホームページに掲載した 安全保障輸出管理に係る機微な技術情報を 外国のサーバーに保管する場合等における自主管理ガイドライン ( 以下 ストレージサービス利用における自主管理ガイドライン と記載 ) について解説します 1. 改正役務通達改正役務通達で 1(3) 用語の解釈に タ が追加され タ提供とは 他者が利用できる状態に置くことをいう なお いわゆるクラウドコンピューティングサービスの解釈は 別紙 1-2のとおりとする と 提供 が定義されました 意見公募では タ提供とは 他者にとって利益となるものをその者が利用できる状態に置くことをいう なお いわゆるクラウドコンピューティングサービスの解釈は 別紙 5のとおりとする となっていましたが それから 利益となるものを が削除されました これは 改正役務通達の 提供 の定義が 他者にとって利益となるもの 以外を提供する場合も規制の対象となり得ることが考慮されたものです また意見公募時点で 別紙 5 となっていたものが 別紙 1-2 になった理由は 改正前の役務通達の別紙 1に解釈があり 別紙 2-2 以降に事務手続き等があることから 別紙 1に追加する形で別紙 1-2となりました この タ が追加された主な理由は いわゆるクラウドコンピューティングサービスの SaaS つまり プログラムをダウンロードさせることなく他者に利用させること も規制対象とするためであり 提供 概念の拡張を意図したものです 2. ストレージサービス 国内のサービス利用者が 外国のサーバーに技術情報を保管して利用する場合で その外国のサーバーを運用するサービス提供者が その技術情報を閲覧することができる場合 サービス利用者から サービス提供者への技術提供となるのか という所謂ストレージサービスの課題は 改正役務通達別紙 1-2(1) で規定され 経済産業省ホームページの Q&A55 60 61 及び 62 で解説されています 1

(URL: http://www.meti.go.jp/policy/anpo/qanda25.html) さらに CISTEC のホームページに ストレージサービス利用における自主管理ガイドライン を掲載し ストレージサービス利用における注意事項を提示しています (URL: http://www.cistec.or.jp/export/jisyukanri/index.html) (1) 役務通達別紙 1-2(1) 基本的な考え方は 意見公募で公示されたものと変わりはありません 内容を整理すると以下の通りとなります ストレージサービスを利用するための契約は サービス利用者が自ら使用するためにサービス提供者のサーバーに情報を保管することのみを目的とする契約である限りにおいて ( 省略 ) 特定技術が保管される場合であっても 原則として外為法第 25 条第 1 項に規定する役務取引に該当せず 同条に基づく許可を要しない ( 特定技術 は外為令別表に該当の技術の意味で用いられている 以下同じ ) ただし 以下の場合は外為法第 25 条第 1 項に定める役務取引に該当する 保管した特定技術をサービス提供者等が閲覧 取得又は利用することを知りながら契約を締結する場合 契約を開始した後に 保管した特定技術をサービス提供者等が閲覧 取得又は利用していることが判明したにもかかわらず 契約関係を継続する場合 サービス利用者が第三者に特定技術を提供するためにストレージサービスを利用する場合 (2) 経済産業省ホームページの Q&A これら例外的に外為法第 25 条第 1 項に定める役務取引に該当する場合に関し 経済産業省ホームページのQ&A55 60 61 及び62で以下概要の解説が加えられています Q&A55: サービス利用者はサービスを利用する上で 保管する技術情報の機微性 当該サービスの契約文面 セキュリティレベル サーバーの物理的設置国等に関する公開情報 を契約前に確認することが必要であり リスト規制に該当するような機微な技術情報を保管する場合は それらの確認が不可欠となります Q&A60: 法令に基づく司法機関の要請がある場合 サーバーに保管された情報を開示する可能性が契約書に記載されている場合 は 閲覧 取得又は利用することを知りながら契約を締結する場合 には当らないとしています Q&A61: セキュリティ対策の目的でサービス提供者がサーバーに保管された情報を閲覧する可能性があることが契約書に記載されている場合についても 契約が サービス提供者がサービス利用者の事前の了承を得て サービス利用者が保管する情報を閲覧する可能性がある旨の契約 であれば 閲覧 取得又は利用することを知りながら契約を締結する場合 には当らないことが記載されています 2

Q&A62: 保管した特定技術の削除に必要な時間を経過した時点をもって の 必要な時間 の程度について 一定の期間の基準はないものの 保管した特定技術情報をサービス提供者等が閲覧 取得又は利用していることが判明した時点から 直ちに対応をすることが求められています (3) ストレージサービス利用における自主管理ガイドライン サービス利用者が サービス提供者のサーバーに保管している技術情報を第三者あるいはサービス提供者に閲覧 取得又は利用されることを防ぐために どのような点に注意してストレージサービスを利用し 自主管理すべきかを解説する目的で CISTEC のホームページに ストレージサービス利用における自主管理ガイドライン を掲載しました これは 経済産業省の改正役務通達及び Q&A を補完する意味もあり 経済産業省の意見も取り入れた上で作成しています ストレージサービス利用における自主管理ガイドライン の(1) では サービスを利用する前に サービス利用者が契約等で確認しておくべき事項等を以下の通り 記載しています 1) 正当で特別な理由がない限り またサービス利用者の事前の了解なしにサービス利用者が保管する情報を閲覧 取得されることがないこと 2) 確実な情報セキュリティ上の措置が講じられていること 3) サーバー設置国の政府機関等によって閲覧 取得されることのないこと懸念がある場合は サーバー設置国をサービス提供者に指定するなどの措置を講じることまた 従来 CISTEC 輸出管理品目ガイダンス ( 役務取引 ) の Q&A に記載のある 暗号化によって技術が実質的にサーバー運用会社に移転されない場合は許可不要 と記載があることにより サーバーに保管する技術情報の暗号化によってリスク回避を行っているサービス利用者を考慮し 暗号化によるリスク回避方法も選択肢の一つとして示されています (2) では サービスの利用を開始した後に 以下の場合においては サービス提供者に情報の移転の禁止 廃棄などを命じ サービス利用者は契約の停止 機微な情報の削除等の適切な対策を講じることが記載されています 1) サービス提供者のサーバー設置場所が懸念国 地域であることがわかった場合 2) 犯罪捜査等の正当な理由なしに政府機関等が自由に情報を閲覧 取得できるようになっている あるいは閲覧 取得できる状態にあることがわかった場合 3) サービス提供者が情報を閲覧 取得しているあるいは第三者に情報を閲覧 取得させていることを知った場合 3

ここでいう懸念国 地域とは 国連武器禁輸国等の懸念国 地域ではなく それぞれの国 地域の法令等で サーバーの中の技術情報を 特定の犯罪捜査等による正当な理由がないまま 自由に閲覧 取得される可能性のある国 地域を指しています 懸念される国 地域を判断するには サービス提供者との契約内容の確認だけでなく Web 等で一般的に公開されている情報による判断も必要になると考えます ストレージサービス利用における自主管理ガイドライン にある事項は 例えば情報資産の保全 個人情報保護等の情報セキュリティ上の観点など 安全保障輸出管理以外の観点でも重要となりますので 可能な限り守った上で ストレージサービスを利用されることをお勧めします 3.SaaS(Software as a Service) 国内のサービス提供者が 外国のサービス利用者にアプリケーションサービスを提供する場合 そのサービスの提供は規制される技術提供となるのか という所謂 SaaSの課題は 改正役務通達別紙 1-2(2) で規定され 経済産業省ホームページの Q&A56 57 58 及び 59 で解説されています 経済産業省ホームページに公表されている意見公募の結果で 経済産業省はSaaSを規制する必要性や目的として 現在のSaaS 技術においては 安全保障上懸念のあるプログラムを ダウンロードさせることなく他者に利用させることができます ダウンロードを伴わないという提供方式の違いによって リスト規制及びキャッチオール規制の対象となる役務提供の安全保障上の懸念が低減することはないため 規制対象であることを明確にするものです と説明しています 実態として懸念されるサービスが確認されている訳ではありませんが 何か懸念されるようなサービスが発生 あるいは見つかった場合に対処しうる法令上の措置が必要との考え方に基づいて 役務通達が改正されました ただ 経済産業省ホームページの Q&A で 誰にでも制限なく提供されるサービスは 役務取引許可が不要となることや 必ずしも全てのプログラムを該非判定の対象としなくても良いこと等 多くのサービスにおいて 産業界の輸出管理の負担を軽減することも考慮されています (1) 役務通達別紙 1-2(2) 役務取引許可申請の時点が明確になったことや一部の表現は修正されていますが 大きくは意見公募時点の内容と変化はなく サーバー上に存在するプログラム ( アプリケーションソフトウェア等 ) を インターネットを介して 他者がダウンロードすることなく利用できる状態にするサービスは 規制の対象となるものの 貿易外省令第 9 条第 2 項第十四号イの要件 ( 以下 市販プログラム特例と記載 ) に該当する場合は 役務取引許可は不要となっています 4

(2) 経済産業省ホームページの Q&A 改正役務通達だけではわからない点が Q&A で明らかにされており 特に Q&A58 と Q&A59 は 規制の対象や該非判定の必要性を理解する上で重要なものになっています Q&A56: 経理 会計 人事といった一般事務にのみ用いるプログラムは 大量破壊兵器及び通常兵器キャッチオール規制の用途要件に当らず 用途が明らかであるため 需要者要件にも当らないとしています これは 核兵器等開発等告示第二号 第三号が根拠になっています Q&A57: プログラムの機能に本質的な変更のないカスタマイズを行う場合は 市販プログラム特例の対象として良いとしています 例えば ある企業向けに会計アプリケーションサービスを提供する場合に 経理上使用する帳票類をその企業専用の帳票で出力されるよう カスタマイズする場合がありますが その場合においても 会計アプリケーションの本質的な変更はないと見做し 市販プログラム特例が適用されます Q&A58:SaaSにおいて 規制の対象となるのは 他者が利用できる状態 にあるアプリケーションプログラムの機能に限定されることが この Q&A で明確になっています 従って国内のサーバーの OS ミドルウェア 通信用の暗号 サーバー運用の為の暗号等 背後で動作しているプログラムは該非判定の際の対象とする必要がありません アプリケーションプログラムであっても 他者が利用できる状態 にないものは該非判定をする必要はありません 例えば Q&A58 にある 人事ソフト が1 勤怠管理 2 給与計算及び3 経費計算の機能に分かれていたとして 海外の現地法人出向者には それら機能のうち1 勤怠管理の機能しか使わせていないとします この場合 該非判定が必要となるのは 他者 (= 海外の現地法人出向者 ) が利用できる状態 である1 勤怠管理の機能だけとなり 2 給与計算及び3 経費計算は 該非判定をする必要はありません また アプリケーションプログラムの中にある暗号が市販されているものであれば 非該当となります Q&A59: どの企業 どの者に対しても制限なく提供されるサービスは 市販プログラム特例によって評価できるとしています 特にコンシューマ向けのショッピングサービスのような多くのサービスは この Q&A によって役務取引許可を取得する必要がないことが明らかになっています 4. 結び今回の改正役務通達及び Q&A が出たことにより ストレージサービスの課題とSaaS 等の課題について 一定の解釈が明確になりました ストレージサービスの課題については まず信頼できるサービス提供者を選択する等 5

安全保障輸出管理の面に限らず 情報セキュリティ管理の面でも 十分なリスク管理を行っていただきたいと思います 今後とも どのように効率よくリスク管理を行い どのような状況を捉えて懸念のある場合と見做すのかなど CISTEC 委員会活動の中で情報共有を図っていきたいと考えています また クラウドコンピューティングのセキュリティに関する国際標準化については ISO/IEC 27017( クラウドセキュリティ国際標準 ) で継続的に議論されており 2015 年に発効し それと同時にクラウドセキュリティの国際認証が開始される予定になっています このように国際的にセキュリティの国際標準化が進めば 安全保障輸出管理の規定も その基準に合わせたものに変わる可能性もあると考えています この動向についても継続的にフォローしていきたいと考えています SaaSについては 一定の解釈が明確になったものの PaaS( サービス提供者がサーバー OS 及びミドルウェアを提供する Platform as a Software) やIaaS( サービス提供者がサーバー及びOSを提供する Infrastructure as a Service) についても 経済産業省は ホームページの Q&A55 の A55 で 諸外国の規制の動向等も踏まえつつ 必要に応じて通達及び Q&A を改正していく予定 と言っていることもあり よりはっきりとした形で解釈を提示する必要があると考えています 昨年 12 月にワッセナーアレンジメント (WA) の規制リストからOS ミドルウェア等コンピュータの使用のプログラムが除外されました 将来 このWAの規制リスト変更が 貨物等省令等の法令に反映されることが予想され PaaS IaaSの解釈にも影響があるものと思われます これらの外部環境の変化を見つつ 制度専門委員会や情報通信専門委員会の活動の中で 現状の規制で困る事例 不明確な解釈の事例を積み上げていき 経済産業省とも継続的に協議しながら より効率的でわかりやすい規制のあり方を追求していきます 以上 制度専門委員会 情報通信専門委員会事務局 (CISTEC 調査研究部主任研究員村井則彦 ) 6

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック