クラウドコンピューティングと外為法に基づく輸出規制について(経済産業省の報告書より)
林さんが既報のとおり、2010年8月16日、経済産業省より「クラウドコンピューティングと日本の競争力に関する研究会」報告書が公表されました。
私が着目しているのは「外為法」に関する部分です。ちなみに経済産業省は外為法に基づく輸出規制を推進している官庁でもあります。
「クラウドコンピューティングと日本の競争力に関する研究会」報告書32ページにはこのように記載があります。③ 外国為替及び外国貿易法
(1)「外国為替及び外国貿易法(以下、外為法)」では、国際的な平和及び安全の維持を妨げることがないように、特定の技術を特定の外国において提供する際や特定の外国人・外国企業に提供する際には、経済産業大臣の許可が必要と定めており、第25条第3項では「特定国において受信されることを目的として行う電気通信による特定技術を内容とする情報の送信」も許可の対象として規定している
(2)したがって、日本国内から海外の外部サーバに情報を送信する際や、当初から外国の利用者に情報を提供することを目的に自社の海外サーバに情報を送信する際、国内サーバのリソースを演算処理等のために提供してその結果を送信する際等も、許可の対象となる場合がある。
(3)この特定技術とは、核兵器等の大量破壊兵器や通常兵器に関連した技術を指しており、例えばこの技術の中には暗号技術などの汎用的な技術も多く含まれるため、これらの情報を取り扱う際には留意が必要である。
(4)一方、米国の「米国輸出管理規則」のように自国で開発されたソフトウェアの輸出に規制を設けている国もあるため、日本国内のクラウド事業者が他国のソフトウェアをクラウドサービスの中で提供する場合には、各国の輸出規制に準拠しているかどうかに留意する必要がある。
かっこの数字は説明のために私で振りました。
まず(1)です。国際平和および安全維持、すなわち大量破壊兵器の拡散防止等の観点から日本では外為法に基づき「特定の技術」を「特定の外国人・外国企業」に輸出してはいけない(輸出するには当局の許可を要する)ことになっています。輸出というのは船でポッポーと運ぶことに限らず、技術の公開されていない部分を伝達することや、リュックに詰めて飛行機で個人的に運ぶことまでカバーされています。(1)にあるように「ネットを通じた情報の送信」も許可が必要です。自由に行うことはできません。
(2)では海外のサーバに情報を送信するだけでもきわどい行為になるということが説明されています。日本では通信の秘密がありデータセンターに格納された顧客データをセンター側のオペレータが勝手に見るということは考えづらいです。一方、外為法で気にしているようなきわどい国のきわどい企業となると信用がおけませんし、そもそも外国は日本の国内法の及ぶ範囲ではありませんので日本式の「通信の秘密」も「不正競争防止法」も関係ありません。また、悪用しようと解釈すればパソコン1台買ってネットにつないで「ストレージ中心のHaaSです」と言えば核兵器の設計図だろうがなんだろうが送信できてしまうことになります。
(3)ではどのようなものが特定技術にあたるか、ということが書かれています。ここまででちょっと心配になった方がみえるかもしれませんが、そもそも非公開になっていて学者しか知らないようなきわどい情報が外為法の対象です。そのへんの本屋やネットで見られる知識、すなわち公知の技術は気にする必要がありません。10年くらいまえに「原爆の設計図」がネットを騒がせましたが、そのように「機微」に感じられる内容だとしても、既に普通の人が見つけられるようになっている情報は規制する意味がないからです。もっとも、日本のマニアックな大学や企業の科学技術力は底知れぬものがありますので、教授が世界レベルの技術オタクだったり、社長率いる特命プロジェクトチームの技術力が変態の域に達している企業ですとうっかりしたことを公開しないほうがいいかもしれません。
ここで一旦休憩を挟むために簡単な例を挙げますと、日本国内に潜入するスパイが各関連の技術情報を手に入れ、日本のSaaS型の情報共有サービスを使って祖国の技術陣に情報提供をするということが考えられます。
さて、わざわざ他人の管理するサーバに証拠を残すようなことをするでしょうか?直接本国のサーバに送ると接続先が怪しく当局の何らかの監視を受ける可能性がありますが、みんなが使うような超有名なサービスともなれば膨大なトラフィックの中に自分の情報を埋め込むことができます。また、そういったサービスは国民の目が集まりやすく、当局もそういったサーバを監視することがやりづらくなります。
どこというわけではありませんが、おりしも「ツイッター」や「Youtube」を使ったり「ブログで暗号伝達」なんていうニュースも聞こえますので当たらずとも遠からずというところでしょうか。そういう理由で、もし自分がスパイだったらgmailやmixiを使うと思います。もしバレたとしても「gmailを使っていたことが発覚しスパイを逮捕」となれば「当局はgmail監視しとるんかい」ということなって多方面にダメージが与えられますから。
もうひとつ例を考えますと、グローバル展開する会社がSaaS型のグループウェアを導入したとします。海外にあるそのグループ会社のひとつが掲示板の中からきわどい情報を発見してダウンロードしたとすると、それは「技術の輸出」とみなされるかもしれません。おそらく正解は「輸出してOKな国か否か」という軸と、「輸出してOKな情報か否か」という2軸からアクセス制御をかけることです。
『中央大学 | 社会貢献・大学としての取り組み | 安全保障輸出管理について』
http://www.chuo-u.ac.jp/chuo-u/community/g07_j.html
更にもうひとつの例は、特定情報を保存したストレージサービスのデータセンターがきわどい国にあったというものです。EUのデータ保護指令に基づきEU域外に個人情報を送信してはならないというルールと似ています。
そして原題に戻りまして(4)ですが日本よりもしっかりしているアメリカは「米国原産製品を日本が輸入し、日本がそれを第三国に輸出」という「再輸出」行為についてもしっかりと管理されるような仕組みをつくっています。
『米国製品再輸出規制調査 - 北米 - ジェトロ』
http://www.jetro.go.jp/world/n_america/qa/02/04A-000946
米国以外の個人・法人が、米国法を守っている理由は、違反した場合にDPL(Denied Persons List―EAR違反者リスト)により公表され、違反者は指定期間中、米国原産品目の取扱いが出来なくなり、期間終了後も名誉と信用回復には時間がかかるためです。
例えば私がアメリカ産のすごい暗号化ソフトを輸入し、それを怪しげな国にバンバン輸出していたとします。私が日本国内にいる限りアメリカは私を逮捕しにくることはできません。(外為法違反で経済産業省が警察に告発するでしょうが)しかし私はアメリカのDPLに追加されます。となると、アメリカ企業は輸出に際して「こいつはDPLに載っていないか?」ということをチェックしますので、私はアメリカ製品を輸出することが非常に難しくなります。アメリカ企業がDPLのチェックをする理由は、それをしていないとアメリカの当局から課徴金などの制裁を受けるからです。アメリカの法律の及ばない範囲、例えば日本国内などでもアメリカの輸出規制が影響を及ぼしているように見えるこの現象を「域外適用」と言います。DPLに掲載された企業は怪しい企業とみなすこともできますので、アメリカ以外の企業がDPLをチェクすることで取引をやめるということも起こります。
つまり(4)について例を挙げますと、アメリカから何かすごいソフトを買ってきてクラウドサービスとして海外に提供をしていたら、いきなりDPLに掲載されてアメリカ製品を購入できなくなるというものです。
全体を振り返り、やはり気になるのは「国内サーバのリソースを演算処理等のために提供してその結果を送信する際等も、許可の対象となる場合がある。」の部分です。
日本のクラウドサービスが提供する演算処理が大量破壊兵器の開発等に用いられている場合、たとえクラウドサービスの事業者が検知できていなくとも、違法性があると言えるかもしれません。もっとも、そんな状況では日本の当局すら把握をしていないはずですので立件が困難と思われます。しかしスパイを逮捕したらそのような仕組みがあったということが判明した際に、果たしてどのような責任が生じるかは微妙です。身元を隠してサービスの利用申し込みをしていたならともかく、明らかに特定の国から集中してアクセスがあるですとか、そもそも申込者がDPLに掲載されているような人物であった場合に事業者の責任は生じないのでしょうか。
その反対に、そこまで監視を求められるとしたらネットで申し込んで5分でリソースを借りられるというようなクラウドの手軽さは帳消しとなり、身分証の提示等の確認が必須となるかもしれません。
外為法の輸出管理の主旨は大量破壊兵器の拡散防止ということで、やはり大量破壊兵器の製造に寄与するような演算処理能力の提供というのは放置して良い問題ではないと思われます。一方で健全な国の健全な経済成長を邪魔するような規制もまた困りものです。
外為法を所管しており、かつクラウドサービスについても所管している経済産業省の今後の展開力に期待しています。
なお免責事項ですが私は弁護士でなく法律の専門家でありません。また私は私の所属する企業で業務としてこの問題を扱っているわけではありません。以下の文章についてはネット上で検索した情報に基づき憶測を含めて個人的に考えたことを個人ブログに書いたものであることをご承知おきください。相談窓口としてはCISTEC、JETRO、経済産業省、弁護士等が適切かと思います。ご意見がありましたらtwitter(@yohei_y)やコメント欄でお聞かせくださいませ。もちろん私の見識の範囲内でお力になれるご相談でしたらばご自由にお寄せください。
【関連エントリ】
クラウドコンピューティングを使って核兵器やミサイルの開発が促進されてしまわないだろうか
クラウドの輸出規制?googleがイランからのGAEへのアクセスをブロック
IIJ GIOのクラウドサービスを使ってみて思う不正利用のこと
P.S.
これを見ると米国における「クラウドサービスを用いた技術の送信」について重要そうなことが描いてあるようなのですが、まだ全部読めていません。
『Hosted VoIP - Exporting into the Clouds: Export Compliance Issues Associated with Cloud Computing』
http://hosted-voip.tmcnet.com/feature/articles/72410-exporting-into-clouds-export-compliance-issues-associated-with.htm