海外支社と共有しているクラウドサーバーの取扱い
輸出安全管理体制の構築海外支社(ベトナム、中国等)の現地スタッフが閲覧又はダウンロードできる共有設定にした時点で、原則として外為法上の技術提供に該当し得ます。
クラウドのサーバー所在地が日本か海外か、相手が実際にダウンロードしたかにかかわらず、非居住者が利用できる状態に置いたかが判断軸になるためです。
一方で、クラウドストレージについては、保存目的(自ら使用するための保管のみ)の範囲にとどまる限り、外為法第25条第1項の役務取引に該当せず許可不要となり得る整理が示されていますが、第三者に提供するためにストレージサービスを利用する場合は例外として役務取引に該当し得ることも明示されています。したがって、海外支社スタッフと共有している本件は、保存目的の整理の外に出やすく、通常の技術提供として該非判定と許可要否判断に進むべき類型です。
目次
なぜ問題になるのか(現場の誤解ポイント)
クラウド活用は、設計部門にとって日常業務の延長線にあるため、輸出管理の論点が埋もれやすいです。とくに次の誤解が多く、無意識のまま継続的に技術提供が発生しやすい点が注意点です。
【誤解1 サーバーが日本にあるなら輸出ではない】
経済産業省のガイダンスは、クラウドサービスを利用して規制技術を非居住者がアクセスできるサーバ上に保存する場合に許可が必要となり得ると注意喚起しており、サーバー所在地だけで安全とは言えない整理を示しています。
【誤解2 相手が実際にダウンロードしなければ提供ではない】
技術提供は、結果として利用したかどうかより前に、他者が利用できる状態に置いたかが問題になります。実務上も、技術の提供とは他者が利用できる状態に置くことと整理されています。
【誤解3 クラウドには特例があるから共有も大丈夫】
保存目的の整理は、あくまで自ら使用するための保管を中核にした整理です。海外支社スタッフに閲覧又は利用させる共有運用は、保存目的の範囲を超えて「提供目的の利用」と評価されやすいです。
法的整理(条文、通達、ガイダンスの位置付け)
技術提供の許可要否は、条文だけでなく、通達やガイダンス、Q&Aで具体化された運用整理を踏まえて判断する必要があります。現場で使える形に分解すると、次の3層で理解すると運用が安定します。
1 根拠条文(外為法第25条第1項)
外為法第25条第1項は、特定技術を特定国において提供することを目的とする取引、又は特定国の非居住者に提供することを目的とする取引について、経済産業大臣の許可を要する旨を定めています。
2 「技術」「提供」の基本概念(実務解釈)
実務資料では、技術とは貨物の設計、製造又は使用に必要な特定の情報であり、技術データ等の形態で提供されると整理されています。また、技術の提供とは他者が利用できる状態に置くこととされています。
3 クラウドの扱い(保存目的の整理と例外)
クラウドストレージについては、保存目的の整理と、その例外(特例外)が実務上の分岐点になります。ここを誤ると、クラウド利用全体が一律にグレーに見えてしまい、業務が回らなくなります。
クラウド特例(保存目的の整理)の要件と限界
クラウドストレージを利用して社内技術データを保管する行為については、一定の場合に許可不要となり得る整理が示されています。実務上は、次のように「保存だけの運用」か「第三者に使わせる運用」かで切り分けるのが重要です。
【類型A 保存、バックアップ、国内業務のための保管】
この類型では、ストレージサービス利用契約が「自ら使用するために保管することのみ」を目的とする限り、特定技術が保管されても原則として外為法第25条第1項の役務取引に該当せず、許可不要となり得る整理が示されています。
【類型B 海外拠点を含む第三者に閲覧、ダウンロード、利用させる共有】
この類型は、技術提供の論点に直行します。保存目的の整理は万能ではなく、例外として、第三者に特定技術を提供するためにストレージサービスを利用する場合は、外為法第25条第1項に定める役務取引に該当し得ることが明示されています。
また、クラウドの形態や使用技術は変化するため、必要に応じて通達やQ&Aを改正していく旨が経済産業省のQ&Aにも記載されています。したがって、自社の運用が整理のどこに位置付くかを、定期的に見直す前提で社内ルール化することが現実的です。
本件が特例外となる理由(海外支社スタッフへの共有)
本件の決定的なポイントは、海外支社の現地スタッフが閲覧又はダウンロードできるように共有設定を付与している点です。
この運用は、保存目的の整理が想定する「自ら使用するための保管」にとどまらず、海外支社スタッフに技術を利用させることを目的とした提供行為と評価されやすいです。
保存目的の整理においても、第三者に特定技術を提供するためにストレージサービスを利用する場合は例外として役務取引に該当し得る旨が明示されていますので、まさにこの例外に当たり得ます。
したがいまして、クラウドに置いているという形式ではなく、非居住者がアクセス可能な状態を作っているという実態に即して、通常の技術提供として許可要否判断に進むのが安全です。
実務対応(翌日から回せる運用設計)
「毎回許可を取ると業務が回らない」という悩みはもっともですが、対処の方向性は「共有を全部やめる」か「全部許可申請する」の二択ではありません。設計、情シス、輸出管理、法務で役割分担し、次の順に潰すと運用が安定します。
1 技術該非判定を先に確定します
CAD図面は、技術データとして技術提供の対象になり得ます。まず外為令別表のリスト規制に該当する特定技術かを、図面の仕様と紐付けて判定します。
2 リスト非該当でもキャッチオールを確認します
図面がリスト非該当でも、用途又は需要者によっては補完的な規制(いわゆるキャッチオール)の確認が必要となり得ます。ここは輸出管理部門で判断基準を統一し、設計現場に「どの質問をいつ聞くか」を定型化するのが効果的です。
3 アクセス権限設計で「提供の範囲」を最小化します
共有が必要な場合でも、フォルダを一括共有するのではなく、閲覧、ダウンロード、印刷、共有再付与、外部リンク発行を分解し、最小権限に落とします。
4 暗号化と鍵管理を「運用」で成立させます
暗号化自体は有効な統制ですが、鍵が海外拠点側に渡っていれば実質は共有と同じになります。鍵管理者、鍵の保管場所、例外付与の承認手続、鍵のローテーションを、社内規程で固定してください。
5 ログと証跡で説明責任に備えます
誰が、いつ、どの図面にアクセスできたか、共有設定がいつ付与又は解除されたかを、後から復元できるようにします。監査ログは、違反の有無の確認だけでなく、問題が起きたときに「どこまでが提供されたか」を切り分ける材料になります。
6 社内規程整備で、IT利用ルールと輸出管理規程を整合させます
現場はクラウド運用のルールが複数あると必ず破綻します。輸出管理規程、情報管理規程、クラウド利用規程、海外拠点との共同開発手順を、一本のフローに統合してください。
7 都度申請が重い場合は包括許可の活用を検討します
反復継続する技術提供が見込まれる場合、包括許可の適用可否は、技術の該当項番号と仕向地の組み合わせ等で整理できます。
また、グループ企業体制を前提にした管理の考え方やモデルCPの情報が公開されていますので、海外拠点との反復共有が避けられない企業では、体制整備とセットで検討するのが実務的です。
8 データ分割で「コア技術」を隔離します
全図面を同一フォルダで共有すると、規制対象の混入が起きた瞬間に運用全体が止まります。コア仕様部分、材料仕様、制御仕様などの機微部分を切り分け、共有対象を段階化するだけでも許可の対象範囲を圧縮できます。
チェックリスト/フロー/表(ワード貼付可能な形式)
| 表1 クラウドでCAD図面を扱うときの許可要否チェックリスト(設計、情シス、輸出管理向け)。 | ||||
|---|---|---|---|---|
| 確認項目 | 担当部門例 | 判断のポイント | 根拠、参考 | 成果物 |
| 共有先の属性整理 | 人事、法務 | 共有先が非居住者か、海外支社スタッフか、海外委託先かを整理します。 | 居住者、非居住者の考え方を含む注意喚起があります。 | 共有先リスト(国、拠点、所属、役割)。 |
| アクセス権限の棚卸し | 情シス | 閲覧、ダウンロード、印刷、共有再付与、外部リンク発行の有無を確認します。 | 技術の提供は他者が利用できる状態に置くことと整理されています。 | 権限設計表、設定画面の証跡。 |
| 技術該非判定 | 輸出管理、設計 | 図面が外為令別表の特定技術に該当するかを判定します。 | 技術、技術データの整理があります。 | 該非判定書、根拠メモ。 |
| 保存目的の整理に該当するか | 法務、情シス | 自社が自ら使用するための保管のみか、第三者提供目的があるかを切り分けます。 | 保存目的の整理と例外が明示されています。 | 利用目的メモ、運用ルール、例外記録。 |
| キャッチオール確認 | 輸出管理 | 用途、需要者、外国ユーザー等の観点で追加確認が必要か整理します。 | 制度概要の注意喚起があります。 | 取引審査記録、質問票、回答の保存。 |
| 包括許可の活用余地 | 輸出管理、法務 | 個別許可か包括許可か、反復継続性と体制整備の観点で検討します。 | 包括許可の考え方、体制整備の参考情報があります。 | 許可方針、年間運用計画、教育記録。 |
| ログと証跡 | 情シス、監査 | 共有設定の付与、変更、解除と、閲覧、ダウンロード等のログを取得し保存します。 | 説明責任の観点で実務上重要です。 | 監査ログ、定期レビュー記録。 |
| 表2 クラウド運用設計の要点(権限設計、鍵管理、例外運用)。 | |||
|---|---|---|---|
| 論点 | 推奨設計 | よくある事故 | 運用での潰し方 |
| 権限設計 | 閲覧とダウンロードを分離し、共有再付与と外部リンク発行は原則禁止とします。 | 一括共有で意図せず再共有が連鎖します。 | 最小権限テンプレートを作り、例外は稟議制にします。 |
| 鍵管理 | 暗号化の鍵管理者を国内の居住者に固定し、鍵の配布、保管、更新手順を規程化します。 | 鍵が海外拠点に渡り、実質的な共有と同じになります。 | 鍵配布を禁止し、どうしても必要な場合は許可戦略とセットにします。 |
| 例外運用 | 例外の種類を限定し、期限付き、対象限定、ログ取得を必須にします。 | 例外が常態化し、監査不能になります。 | 月次レビューで例外ゼロを目標に縮減します。 |
| ログ | 共有設定の付与、変更、解除と、閲覧、ダウンロードのログを保全します。 | 設定変更の履歴が残らず、説明できません。 | 保全期間と閲覧権限を定め、監査対応を一本化します。 |
| 表3 許可要否判断フロー(クラウド共有版)。 | ||
|---|---|---|
| ステップ | 質問 | 次のアクション |
| 1 | 非居住者がクラウド上のフォルダにアクセス可能ですか。 | はいの場合、原則として技術提供の論点に進みます。いいえの場合、ステップ2へ進みます。 |
| 2 | 利用目的は自社が自ら使用するための保管のみですか。 | はいの場合、保存目的の整理の適用余地を検討します。第三者提供目的がある場合は例外として役務取引に該当し得ます。 |
| 3 | 当該CAD図面は外為令別表の特定技術に該当しますか。 | 該当の場合、許可要否の検討へ進みます。非該当でもキャッチオール確認へ進みます。 |
| 4 | 共有は本当に必要ですか。データ分割で共有範囲を減らせますか。 | 共有最小化、データ分割、権限設計、ログ整備を実施します。 |
| 5 | 反復継続する共有で、都度許可申請が実務的に困難ですか。 | 包括許可の適用可能性を検討し、体制整備とCP整備を進めます。 |
まとめ
クラウドにCAD図面を置く行為は、それ自体が常に許可対象になるわけではありませんが、非居住者がアクセスできる状態を作った瞬間に技術提供の論点に入りやすい点が実務の要注意ポイントです。
保存目的の整理は、あくまで自ら使用するための保管にとどまる場合に検討できる枠組みであり、海外支社スタッフとの共有運用は例外として役務取引に該当し得るため、通常の該非判定と許可要否判断、そして運用統制の設計に進むのが安全です。
業務を止めずに適法運用するためには、権限設計、鍵管理、ログ、規程整備、データ分割、そして包括許可の活用を、設計と運用のセットで回すことが実務的な解決策になります。
なお、本稿は、安全保障貿易管理に関する一般的な情報提供を目的としたものであり、個別案件に対する法的助言ではありません。実際の許可要否や運用設計は、対象技術の該非判定、提供先の属性、提供態様、社内体制等の個別事情により結論が変わり得ますので、必要に応じて専門家又は所管当局への相談をご検討ください。
【お問合せは、こちらから】
・・・・・・・・・・・
執筆:有森FA法律事務所 代表弁護士有森文昭
代表弁護士 有森 文昭弁護士 (東京弁護士会所属)
ARIMORI FUMIAKI
この記事と関連するコラム
Warning: Trying to access array offset on false in /home/replegal/fefta-fa.com/public_html/wp-content/themes/export-duties/single-column.php on line 75
Warning: Attempt to read property "slug" on null in /home/replegal/fefta-fa.com/public_html/wp-content/themes/export-duties/single-column.php on line 75
近年、クラウドストレージやオンライン共有ツールを使ったデータのやり取りが、企業や大学の現場で日常的に行われています。しかし、このようなデジタル情報の取り扱いにも、外為法に基づく輸出管理が適用されるケースが相当程度存在することをご存知でしょうか。 今回は、クラウド経由での技術・情報共有が「技術の提供」として規制対象になるのかどうかについて、ご説明いたします。 データを「国外に保存・アクセス」...
輸出品目のリスト規制該当性を判断するための『該非判定』のステップ
輸出安全管理体制の構築輸出管理を実務的に進めるうえで最も基本となるチェックが、「該非判定」です。 これは、自社で取り扱う貨物や技術が、外為法に基づくリスト規制の対象(該当)となるのか、それとも規制対象外(非該当)なのかを判断するプロセスです。 中小企業や大学・研究機関においても、この判断を適切に行わないと、重大な法令違反や不正輸出につながるリスクがあります。 本稿では、該非判定の考え方と具体的なステップについて解...
輸出管理におけるリスク評価とは?自社の弱点を見える化する第一歩
輸出安全管理体制の構築輸出管理の違反リスクは、大企業だけでなく中小企業や大学・研究機関にも等しく存在します。特に外為法違反は、「知らなかった」「うっかりやってしまった」で済まされず、組織全体の信頼を揺るがす問題に直結します。 では、自社(または自組織)のリスクをどのように把握し、どこから対応すればよいのでしょうか。今回は、輸出管理における『リスク評価』の意義と、その具体的な進め方をご紹介します。 なぜリスク評価...
外為法に基づく輸出管理では、製品や技術が「リスト規制に該当するか」を明確に判断する必要があります。 その判断結果を文書として記録するものが『該非判定書』です。 該非判定書は、企業が自らの責任で法令遵守を行っていることを示す「証拠」であり、監査・行政調査・紛争時の法的防御において決定的な意味を持ちます。 該非判定書の役割 該非判定書は、単に「該当」または「非該当」を記すだけの書類ではありま...
事後調査をきっかけに企業力を高める―危機を乗り越え、信頼へつなげる法務戦略
輸出事後調査対応税関や経済産業省からの「輸出事後調査」を受けた際、多くの企業が「突然の出来事」に戸惑い、不安を抱えます。 しかし、こうした事後調査は、単なるリスクではなく、企業の体制を見直し、信頼性と競争力を高めるチャンスでもあります。 当事務所では、事後調査に直面した企業様に対して、単なる「火消し」ではなく、将来を見据えた企業体制の強化とブランド価値向上を目的としたサポートを提供しています。 事後調査...
東京大学法学部及び東京大学法科大学院卒。弁護士登録後(東京弁護士会所属)、都内法律事務所で執務。都内法律事務所での執務時に、税関対応・輸出入トラブルをはじめとした通関・貿易に関する問題、労働問題等を中心に100件以上の案件に携わる。その中で、通関・貿易に関する問題についてより広く網羅的な知識を取得し、より高品質なリーガルサービスを提供したいと考え、通関・貿易関係の国家資格である通関士の資格を取得。