あなたのビジネスはITARまたはEAR規制の対象になっていますか? 不明な場合は、すぐに確認することが重要です。 そうでなければ、コンプライアンス違反の深刻な結果に直面する可能性があります。
国際武器取引規制 (ITAR)
ITARは、外国人の手に渡らないようにする目的で、防衛用品およびサービスの輸出を規制しています。 これらの規制は、政府の請負業者と下請け業者の両方に適用され、これらの規制の対象となる物品やサービスは、米国軍需品リスト (USML) に概説されています。 USML には、自動車、弾薬、航空機など、さまざまな製品、サービス、技術データが含まれています。
ITAR は、USML に含まれる製品、データ、およびサービスの輸出入、および一時的な輸出入を具体的に管理します。 ITAR の対象となるドキュメントを電子メールで送信することは、データの輸出と見なされるため、企業はデータの共有方法に特に注意する必要があります。
USML の対象となる物品を、承認された米国市民のみに制限することは簡単に聞こえるかもしれませんが、これは見た目よりも複雑な場合があります。 たとえ自社で雇用している外国人であっても、機密性の高いハードウェアやデータを保護するためにアクセスを制限する必要があることを意味します。 そのため、このような事態が発生する可能性があります。
EARの対象となる品目は、製品またはサービスのいくつかのカテゴリーにおいて、商業規制リスト(CCL)に列挙されています。
-
Nuclear and Miscellaneous
Materials, Chemicals, Microorganisms.の3つのカテゴリーに分類されます。 3704>
-
材料加工
-
エレクトロニクス
-
コンピュータ
-
テレコム
-
情報セキュリティ
センサーとレーザー
-
ナビゲーションとアビオニクス
-
マリン
-
航空宇宙と推進
それぞれのカテゴリが広いので、その中から選択します。 貴社は、少し調査を行うか、または、米国にある企業とのコネクションが必要になると思われます。米国商務省産業安全保障局(BIS)の担当者と連絡を取り、自社の製品がこれらのカテゴリーに該当するかどうかを判断する必要があります。 BIS は、EAR コンプライアンスを規制および実施する政府機関です。
ITAR vs. EAR: How They Difference
ITAR がすべての防衛関連材料およびアイテムの輸出をカバーし、EAR がそれ以外をカバーすると言うことは簡単です。 しかし、この似ていながら異なる規制を理解するには、少し時間がかかります。
-
規制機関: ITAR は米国国務省の防衛貿易管理局 (DDTC) によって規制されており、EAR は米国商務省の産業安全保障局 (BIS) によって規制されています。 ITAR はすべての防衛物品とサービスを対象とし、EAR は商業用および二重使用の物品と技術を対象とします。
-
Where Regulated Items are Listed: ITAR 対象の物品は合衆国軍需リスト (USML) で見つけることができ、EAR 対象は商業規制リスト (CCL) に記載されています。
-
Access Controls
-
公共のコンピューターからデータにアクセスしないこと。 安全なファイル共有ソリューションでは、IP アドレスでアクセスを制限できるため、アカウントやデータは承認された安全なコンピューターからのみアクセスできます。
アカウントへのアクセスは、認証方法によってのみ許可されます。 つまり、アカウントはユーザー名、パスワード、SSH キーなどで保護する必要があります。
-
ITAR 規制のデータは物理的に保護する必要があります。
-
システム管理
-
定期的にマルウェア防止ソフトウェアを更新する。
-
制御されたデータへのアクセスを提供するハードウェアは、セキュリティ パッチと更新を最新の状態にしておく必要があります。
-
電子メディアは、NIST 800-88 に従ってワイプする必要があります。
-
データは、保存時に暗号化する必要があります。 これは、安全なファイル共有ソリューションの主要な機能の 1 つです。
-
Transmission of Data
-
Data unencryptedを送信しないことです。 安全なファイル共有ソリューションを使用すると、管理者はファイル共有要件としてデータの暗号化を強制できます。
-
ワイヤレス ネットワークは暗号化する必要があります。 これは、FTP ホストではなく、企業の責任になります。
-
受信および送信トラフィックを監視する。 業界をリードするファイル共有ソリューションでは、誰がデータにアクセスしているかを示すアクティビティ ログを提供しています。 また、国および IP アドレスに基づいてアクセスを制御することもできます。
-
データ侵害が発生したときにそれを検出する。 FTP Today のようなファイル共有ソリューションを使用すると、不正アクセスを防止するための侵入検出および防止対策によって保護されます。
-
下請け業者は規制に合わせる必要があります。
-
共有システム上の実行可能ソフトウェア
-
ソフトウェアを含むディレクトリには、厳格なアクセス許可が必要です。 FTP Today のような FTP ソリューションを選択すると、ホストはすべてのソフトウェアが隔離されたディレクトリに含まれるようにします。
-
監査ログが有効でバックアップされていること。 FTP ホストは、必要な限り保存されるログを提供します。
-
システムは米国市民によってのみ管理されるべきです。 たとえば、FTP Today は、この規制への準拠を確実にするために、米国市民のみを雇用しています。
-
米国市民のみがシステムに物理的にアクセスする必要があります。
この差異を要約すると、違いはあっても多くの点でITAR と EAR は並行規制ということができます。 そして最終的には、どちらも同じ目標、つまり機密性の高い材料や物品が間違った手に渡らないように保護することです。
Where file sharing and Compliance Meet
政府の規制を遵守しないと、深刻な結果になることはすでにご存じだと思います。 ITAR と EAR では、いずれかの規制に従わなかった場合、罰金やビジネスの損失など、相当な額の損害を被る可能性があります。 さらに、刑事告発など、より深刻な事態に直面する可能性もあります。 したがって、コンプライアンスを維持するための管理体制を整えることが不可欠です。
コンプライアンス違反から保護するために取るべき最初のステップの 1 つは、安全なファイル共有ソリューションを採用することです。 どちらの規制もハードウェアだけでなくデータも扱うため、機密情報を損なうことなく社内外でデータを共有する方法が必要です。
従来の意味での「エクスポート」ではないかもしれませんが、他の当事者と情報を共有したり送信したりすることはあるかもしれません。 データのエクスポートは、今日のほとんどのビジネスで日常的に行われています。 ITAR または EAR 関連の情報を社内および顧客に送信する場合、データを共有する人や相手に関係なく、データを安全に保つための基準を設定する必要があります。
安全なファイル共有ソリューションを使用する場合、データを安全に保つために必要なツールを使用することができます。 特に ITAR では、データを保護するために必要な方法を 4 つのカテゴリに分けて説明しています。
結局のところ、これらの規制のすべてをカバーする最善の方法は、コンプライアンスとデータの安全性を維持できるファイル共有ソリューションを選択することです。 ファイル共有ホストは、ファイル共有に関連する複雑なコンプライアンスに集中することができ、あなたは自分のビジネスに注意を向けることができます。 ITAR コンプライアンスとそのデータ共有への影響について、このガイドを参照してください。