「データはクラウドに保存しておけば、とても便利だよ」
「そのサーバー、どこにあるの? 海外なら法律違反になるかもよ」
「えっ……」
普段は何気なく利用しているクラウドコンピューティングサービス(以下、クラウドサービス)。
チームや社外サポートなどとの情報を共有する業務も増えているため、むしろ積極的にクラウドサービスを導入する会社も多くなっています。
コストや運用面で価値があるクラウドサービスの利用は年々増加しており、一部でも利用している企業は約6割になっています。
ただ、現在もしクラウドサービスを利用しているなら、そのサーバーがどこにあるか、という点を気にしたことはあるでしょうか。ここにまず落とし穴があります。
実は、クラウドサービスのサーバーが海外に置かれているならば、場合によっては外為法違反となって処罰されることがあるのです。
|
参考) |
クラウドサービスで技術のやり取りをするのは、自らの管理下にない場所で重要なデータを取り扱うことでもあります。
そのため、技術の漏洩に加えて、技術の輸出として、輸出管理規制の対象になる場合がありますので、注意が必要です。
また海外出張の際に、技術資料を持ち出す場合や、海外から日本に出張してきた技術者に技術研修を行う場合にも、輸出管理規制の対象になることがあります。
今回は、クラウドサービス、海外出張、技術研修などの技術のやり取りが、輸出管理規制の対象になることがある事例を通じて、安全保障貿易(輸出)管理コンプライアンス(以下、輸出管理)と啓発教育の重要性についてご紹介したいと思います。
無料eBook
コンプライアンスが楽しくなる!
ゲーミフィケーションで実践する教育の仕組みづくり
大手電機メーカーで実際に行われたコンプライアンス施策をもとに教育手法にフォーカスし、131ページにわたり解説しています。
1. 技術のやり取りと輸出管理規制
輸出業務は、主に、製品やサービスを日本から海外に出荷する部門が担当する業務です。
しかし、みなさんが日常的に利用しているクラウドサービスを通じて技術のやり取りをすることが「海外への輸出」に相当し、その中には、事前に経済産業省の輸出許可が必要になる場合があります。
1-1. クラウドサービスと輸出
クラウドコンピューティングとは、コンピューティングサービス(サーバー、ストレージ、データベース、ネットワーク、ソフトウェア、分析など)をインターネット(“クラウド”)経由で配信することです。
Microsoft Azure「クラウドコンピューティングサービスとは」,https://azure.microsoft.com/ja-jp/overview/what-is-cloud-computing/ (閲覧日:2020年11月5日)
経済産業省は、クラウドサービスの活用にあたって、海外の大規模クラウド事業者の場合、データの物理的存在場所がわからない場合があることから、国内のサーバーに保存することを確約する事業者を選択するなどの留意事項を示しています。
|
参考) |
ここで重要なのは、外国のサーバーに技術データを保管する場合、「技術の輸出」とみなされ、事前に輸出許可の取得が必要になる例があることです。
サーバーに保管されている技術情報が容易に閲覧・取得できる状況である場合は、これに該当します。
イメージ)外国のサーバー利用のイメージ
出典)株式会社ライトワークス「eラーニング コンプライアンスシリーズ「安全保障貿易(輸出)管理(基礎編)」」
CISTEC(一般財団法人安全保障貿易センター)の自主管理ガイドラインでは、ストレージサービスの利用においては、サービス提供者との契約内容、セキュリティ措置、懸念のある国・地域にサーバーがあるかなどを確認すべきであると指摘しています。
|
参考) |
1-2. 外為法における輸出管理規制とは
日本では、外国為替および外国貿易法(外為法)により輸出管理規制が行われており、規制に該当する輸出には、経済産業省の事前の輸出許可が必要になります。
日本の輸出管理規制には、次のようなリスト規制とキャッチオール規制があります。
イメージ)日本の輸出管理規制
出典)株式会社ライトワークス「eラーニング コンプライアンスシリーズ「安全保障貿易(輸出)管理(基礎編)」」
リスト規制品は、“兵器そのものや兵器の開発に利用できる高い性能を持つ汎用品などを15項目にリストアップ”したものです。“リスト規制に対しては、輸出を予定する物のスペックが、貨物等省令の仕様に該当するかしないかの判定(該非判定)を行います。”
キャッチオール規制は、“リスト規制品に該当しない物の輸出に対して、その用途と需要者の内容に応じて、規制が行われています。”
“日本から輸出された物が、最終的に大量破壊兵器や通常兵器の開発などに使用されるおそれがあるか(用途要件)、日本から輸出された物を受け取る者や最終的に使用する者が、大量破壊兵器の開発などを行っている(又は行った)か(需要者要件)”に該当する場合は、輸出前に許可を得る必要があります。[1]
1-3. 技術の提供と輸出管理
物の輸出だけではなく、技術の提供も輸出管理規制の対象になります。
技術は「設計」・「製造」・「使用」に分類されます。
経済産業省「安全保障貿易管理ハンドブック」,2019年(第10版),P5,https://www.meti.go.jp/policy/anpo/seminer/shiryo/handbook.pdf (閲覧日:2020年11月5日)
リスト規制品に関する技術(リスト規制技術)を外国の者(非居住者)に提供する場合や、提供する技術の用途や需要者にキャッチオール規制における懸念が認められる場合は、その提供に際して事前の許可が必要です。
イメ―ジ)輸出管理の対象となるもの
出典)株式会社ライトワークス「eラーニング コンプライアンスシリーズ「安全保障貿易(輸出)管理(基礎編)」
技術提供には、eメール、技術サーバーによる技術提供に加えて、技術移転、共同開発、技術者派遣・受け入れ、学会発表も含まれます。
また、日本国内の技術提供であっても、日本国内に住所や居所を持たない人や法人などに提供する場合は、輸出管理規制の対象になります。
「非居住者」とは、次のような定義に該当する者や法人です。
出典)株式会社ライトワークス「eラーニング コンプライアンスシリーズ「安全保障貿易(輸出)管理(基礎編)」
経済産業省は2017年6月21日にクラウドサービスに関する役務通達の改正を交付しており、それに伴い、Q&Aを公表しています。
Q&Aでは、社内技術データをストレージに預ける場合、プログラムをSaaS(Software as a Service)として提供する場合など、具体的な質問に対する回答が掲載されています。
|
参考) |
クラウドサービスに関連した代表的なQ&Aをご紹介します。
Q1-5
社内技術データをストレージサービスに預けることを検討していますが、ストレージ用のサーバーが外国にある場合は外為法上の規制を受けますか。ストレージ用のサーバーがどこに設置されているか分からない場合はどう対応すればよいでしょうか。A1-5
御社自らが技術データを使用するためだけにストレージサービスを利用する契約になっていた、その契約通りに技術データを使用するのであれば、外国に設置されたサーバーに保管される場合であっても、外国において又は非居住者への技術提供として扱う必要はありません。しかしながら、たとえばストレージサービス提供者が当該技術データを閲覧、取得又は利用できることを知りながら契約する場合は規制の対象となることが役務通達別紙1-2いわゆるクラウドコンピューティングサービスの解釈で規定されていますのでご留意ください。Q1-6
社内技術データをストレージサービスで保管しているのですが、海外子会社にもアクセス権を付与して、そこで技術等のやり取りを行う予定です。この場合、海外子会社への技術提供となり、外為法25条の対象となりますか。A1-6
CISTEC「輸出管理に関するFAQ」,http://www.cistec.or.jp/export/faq/faqansers.html(閲覧日:2020年11月5日)
御社から海外子会社への技術提供となり、外為法25条の対象となります。役務通達別紙1-2いわゆるクラウドコンピューティングサービスの解釈(1)なお書きでその旨が説明されています。
|
参考) |
このように、クラウドサービスを利用する場合、輸出管理規制の対象となる場合がありますので、注意が必要です。
【外為法の教育にも!】大手電機メーカーで実際に行われた施策をもとに、コンプライアンス教育手法を131ページにわたり解説!
⇒eBookを無料ダウンロードする
1-4. 過失による違反と厳しい刑罰
輸出管理規制に対する違反原因(2014年4月~2019年3月)の傾向を見ると以下の比率になっています。[2]
出典)経済産業省「事後審査事案の傾向・事例 1(1).最近の違反原因の傾向」(2014年4月~2019年3月)」
このデータを見ると項目1から3までは、いずれも過失が原因です。
特に、技術取引は、過失による違法輸出の事例が多い分野ですので、注意が必要です。
実際にあった違法輸出の事例をご紹介します。
Case1:内蔵プログラムの認識不足
工作機械の輸出時に、貨物に内蔵されているプログラムについて、該当技術であるとの認識は全くなく、貨物のみの輸出許可を取得し輸出。Case2:研修時の使用機器・技術等に対する認識不足
海外研修生に対し、コンピュータに内蔵されている規制プログラムを供与(使用させた。)Case3:規制技術の判定誤り
出典:経済産業省 事後審査
技術提携している海外の会社に該当部品の製造委託を行った際、送付する図面は該当技術には当たらないと判断。
以前非該当であった該当貨物の技術マニュアルを翻訳(印刷)するため海外に発注する際、非該当であると判断。
経済産業省「違法輸出の事例等について」,http://www.meti.go.jp/policy/anpo/topics/anposetsumeikai/ihouyusyutsu/document/ihouyusyutu.ppt(閲覧日:2020年11月5日)
これらはいずれも、外為法や関連法規の認識不足や判断ミスによるものです。
以下の記事で、コンプライアンス違反の原因として、知識不足や業務ミスにより、過失(無知・無理)があることをご紹介しました。
このような過失は、教育や業務プロセスの見直しにより改善可能です。
予防のためにも、啓発教育が非常に重要です。
クラウドサービスを通じた技術のやり取りに加え、海外出張の際の技術や製品の持ち出しや国際宅急便などを利用した技術資料や製品の国外への輸送も輸出管理規制の対象になるのです。
そのため、啓発教育は、恒常的に輸出を行う部門以外にも、技術、製造、企画、営業部門など、多くの職種に必要となります。
海外旅行での手荷物の持ち出しや、国際宅急便などを利用した国外への輸送に関する注意事項をまとめた資料がありますので、ご紹介します。
|
参考) |
事前の輸出許可が必要な物や技術を、無許可で輸出または提供すると次のような厳しい刑罰を科させることがあります。
○刑事罰
経済産業省「安全保障貿易管理ハンドブック 2019年(第10版)」,P9,https://www.meti.go.jp/policy/anpo/seminer/shiryo/handbook.pdf (閲覧日:2020年11月5日)
・法人の場合は最大10億円以下、個人の場合は3,000万円以下又は対象となる貨物や技術の価格の5倍以下の罰金
・10年以下の懲役
○行政制裁
・3年以内の物の輸出・技術の提供の禁止
○社会的制裁
・刑事罰や行政制裁以外にも、信用失墜等により社会的制裁をも受けかねません。
外為法の違反事例は公表されていますので、ご参照ください。
|
参考) |
■大手電機メーカーで実際に行われた施策をもとに、コンプライアンス教育手法を131ページにわたり解説!
⇒eBookを無料ダウンロードする
[1] 経済産業省「安全保障貿易管理ハンドブック」,2019年(第10版),P3-4,https://www.meti.go.jp/policy/anpo/seminer/shiryo/handbook.pdf (閲覧日:2020年11月5日)
[2] 経済産業省「事後審査事案の傾向・事例 1(1).最近の違反原因の傾向(2014年4月~2019年3月)」,https://www.meti.go.jp/policy/external_economy/trade_control/01_seido/02_jigo/20190830_jigoshinsajiannokeikoujirei.pdf(閲覧日:2020年11月5日)
2. 輸出管理コンプライアンスの基本
それでは、輸出管理コンプライアンスは、どのように取り組む必要があるのでしょうか。
次の3つのポイントをご紹介します。
2-1. 輸出管理規定の作成と実施
法令を遵守するための輸出管理規定(コンプライアンスプログラム、Compliance Program:CPと呼ばれています)を作ります。
輸出管理規定には、輸出管理に関する会社の基本方針、輸出管理責任者の選任、輸出管理責任体制、具体的な輸出管理の基準、教育啓発などを規定します。
この輸出管理規定を基準として、輸出管理コンプライアンスを実行します。
2-2. 事前審査と必要な許可取得の徹底
特に重要なのは、輸出管理規制の対象となる物や技術を事前に審査し、「該非判定」を行い、輸出許可が必要な場合は、事前に許可を取ることの徹底です。
恒常的に輸出を行っている事業部門以外でも、クラウドサービスを利用して技術のやり取りをしている場合、または、海外出張時に、商品や技術を持ちだす場合の審査体制も重要です。
クラウドサービスの場合、運用方法で輸出許可が必要か否かが決まります。
しかも、「非居住者」がアクセスできるサーバー環境の場合、そのサーバーにアップロードした時が輸出となるため、特に注意が必要です。
この場合、技術をサーバーにアップロードする前に「該非判定」を行い、輸出許可が必要な場合は、事前に許可を取得する必要があります。
2-3. 啓発教育の徹底
啓発教育は予防のためにも重要です。まず、eラーニングなどで輸出管理の基礎知識を学習します。
クラウドサービスを利用した技術のやり取りや海外出張も対象であることを考えると、啓発教育は全社員を対象にする必要があります。
その教育には、効率的に実施でき、かつ学習履歴を管理できるeラーニングを用いる教育が効果的です。
その上で、ご紹介した違反事例などを用いて、具体的な事例を演習形式で学習する方法が有効です。
事例を用いた演習方法をご紹介しましょう。
以下の記事では、実践的な事例の学習方法として、ビジネスシーンを想定した問題発見力の育成についてご紹介しました。
輸出管理の啓発教育においては、実際に発生したトラブル事例が数多く公開されており、それらを素材にした演習を行なう方法が有効です。
2-4. 事例学習の作り方
ご参考までに、事例問題の作成方法をご紹介します。
(1) 事例の設定
事例は、回答者の当事者意識と学習意欲を引き出すために“あなたは●●です。”という設定から始めます。
実際のトラブル事例を素材として、できるだけ具体的なビジネスシーンが思い浮かび、また、判断に迷うような事例を設定します。
(2) 回答の設定
(2)-1:選択肢を明示する方法
基礎知識に基づき、何が問題であるかを発見する「問題発見能力」を育成するためには、具体的な選択肢を複数明示し、その中から、正誤を選択させる方法が有効です。
選択肢の数と選択の方法により、難易度を調整することができます。
事例の設定と同様に、各選択肢も、できるだけ具体的で、判断に迷うような微妙な設定にします。
また選択肢を身近に感じるために、同僚が事例の問題について会話している、というような会話調の設定も有効です。
(2)-2:選択肢を明示しない方法
問題の本質を議論したり、発生したトラブルに対して、今後、何をすべきかを議論したりして考える「問題発見能力」を育成するためには、選択肢を明示しない方法が有効です。
たとえば、事例は同じ設定を用いて、次のような課題で議論します。
・課題1:この事例からどのような問題が起こり得ると思うかをできるだけ多く考える。
・課題2:考えた問題について、基準を決めて重要度を分類し、グループ化する。
・課題3:グループ化した内容に対して、問題発生を予防するために、何をすべきかを考える。
さらに、トラブル事例について、自分が所属する部門に同様の課題がないかを議論したり、自分の部門や自分自身が経験した事例を紹介したりし合う方法も有効です。
以下の記事では、アクティブラーニングの有効性をご紹介しました。実際のトラブル事例を素材として、自分達の問題として議論することは、学習効果においても有効です。
■大手電機メーカーで実際に行われた施策をもとに、コンプライアンス教育手法を131ページにわたり解説!
⇒eBookを無料ダウンロードする
「安全保障貿易管理(外為法)」をeラーニングで社員教育
eラーニングコース:輸出管理を適切に実施するための「安全保障貿易管理」知識習得コース
法令違反を未然に防ぎ、安全な貿易を行うための知識を身につける
海外とのビジネスで必要となる安全保障貿易管理の基礎知識を習得することで、ルールを意識しながら日常業務を行い、リスクのある行動を回避できるようになります。
こちらのeラーニングコースでは、安全保障貿易管理の概要からケーススタディまで網羅的に学ぶことで業務で活かせる知識を習得することができます。
各教材は文字の少ない5分以内の短い動画で構成されています。ビジュアルでも理解が進みやすいよう、教材にはイラストも豊富に掲載しました。安全保障貿易管理について初めて学ぶ若手社員の方の教育にも適しています。
3. まとめ
クラウドサービスは、コストや運用面で価値があるため、年々増加していますが、クラウドサービスを通じて、技術のやり取りをする場合、サーバーが国外にあると輸出管理規制の対象になる場合があり、注意が必要です。
輸出管理規制には、リスト規制とキャッチオール規制があります。
物の輸出のみならず、技術のやり取りや海外出張の際の製品や技術資料の持ち出し、海外からの技術研修生の受け入れの場合にも、輸出管理規制の対象となることがあるので要注意です。
輸出管理コンプライアンスには、輸出管理規定を作成し、該非判定と必要な輸出許可の取得が実施できる体制が必要です。また、予防のためには、啓発教育が欠かせません。
啓発教育には、基礎知識をeラーニングなどで学ぶとともに、具体的な違反事例などを素材として、事例から学ぶ方法が有効です。
今回ご紹介したクラウドサービスを通じた技術のやり取りにも輸出管理規制が必要であることを理解し、輸出管理コンプライアンスの継続教育に取り組んでください。
- Microsoft Azure「クラウドコンピューティングサービスとは」,https://azure.microsoft.com/ja-jp/overview/what-is-cloud-computing/ (閲覧日:2020年11月5日)
- CISTEC「クラウド利用促進に向けた外為法上の指針の早期提示要望について」,https://www.cao.go.jp/sasshin/kisei-seido/meeting/2012/wg1/121115/item5-2.pdf (閲覧日:2020年11月5日)
- 経済産業省「クラウドセキュリティガイドライン活用ガイドブック」,2013年度,
- https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudseckatsuyou2013fy.pdf (閲覧日:2020年11月5日)
- CISTEC「安全保障輸出管理に係る機微な技術情報を、外国のサーバーに保管する場合等における自主管理ガイドライン」,http://www.cistec.or.jp/export/jisyukanri/130618-storage.pdf (閲覧日:2020年11月5日)
- 経済産業省「安全保障貿易管理ハンドブック」,2019年(第10版),P3-4,https://www.meti.go.jp/policy/anpo/seminer/shiryo/handbook.pdf (閲覧日:2020年11月5日)
- CISTEC「外為法違反事例」,http://www.cistec.or.jp/export/ihanjirei/index.html(閲覧日:2020年11月5日)
- CISTEC「クラウドコンピューティングサービスに関する役務通達の改正について」,http://www.cistec.or.jp/export/jisyukanri/130627-cloud.pdf(閲覧日:2020年11月5日)
- 経済産業省「安全保障貿易管理**Export Control*Q&A」,http://www.meti.go.jp/policy/anpo/qanda25.html(閲覧日:2020年11月5日)
- CISTEC「クラウドコンピューティングに関する役務通達の改正、経済産業Q&A、CISTECのストレージサービス利用における自主管理ガイドライン等について」,http://www.cistec.or.jp/service/cloud.html (閲覧日:2020年11月5日)
- CISTEC「輸出管理に関するFAQ」,http://www.cistec.or.jp/export/faq/faqansers.html(閲覧日:2020年11月5日)
- 経済産業省「事後審査事案の傾向・事例 1(1).最近の違反原因の傾向(2014年4月~2019年3月)」,https://www.meti.go.jp/policy/external_economy/trade_control/01_seido/02_jigo/20190830_jigoshinsajiannokeikoujirei.pdf(閲覧日:2020年11月5日)
- 経済産業省「違法輸出の事例等について」,http://www.meti.go.jp/policy/anpo/topics/anposetsumeikai/ihouyusyutsu/document/ihouyusyutu.ppt(閲覧日:2020年11月5日)
- 経済産業省「個人輸出」,http://www.meti.go.jp/policy/anpo/kojinyushutsu.html(閲覧日:2020年11月5日)
- 経済産業省「安全保障貿易管理ハンドブック 2019年(第10版)」,P9,https://www.meti.go.jp/policy/anpo/seminer/shiryo/handbook.pdf (閲覧日:2020年11月5日)
- 九州大学国際法務室「安全保障輸出管理」,http://qilo.kyushu-u.ac.jp/sec.html#ahyk01(閲覧日:2020年11月5日)
