2024/7/28

/icons/hr.icon

続・Appleの輸出コンプライアンス上暗号化しなくても暗号化ライブラリを入れてたらアウトなのか

あくまで概要なので必ずリンクをたどるべき。

ライブラリ・開発ツール作者は申請しなくてよくなったらしい。

Category 5 Part 2の内訳。

実はFlowchatは2つある。こちらは「Category 5 Part 2に該当するか」判定するグラフ。

チャート内の条件文がリンクになっており、各用語の定義が読める。

https://scrapbox.io/files/66a6e2ae42a173001cd2f3bb.png

この調査を始めるとき、まず最初に暗号化技術の用途を調べがちだが、publicly available source corde or publicly available mass market object codeかどうかチェックしたほうがいい。

特に重要なのがPublicly availableの定義。

1. Mass market encryption object code software that is made "publicly available"

Once the mass market item is properly classified under the relevant section of 740.17(b)(1) or (b)(3) (after a classification by BIS (5D992.c) or self-classification with self-classification report), if the software is then made "publicly available" it is not subject to the EAR.

（マスマーケット品目が740.17(b)(1)または(b)(3)の関連セクションに基づいて適切に分類されると(BIS (5D992.c)による分類、または自己分類レポートによる自己分類の後)、ソフトウェアが「一般に利用可能」になれば、EARの対象にはなりません）

For example, an App made for a smartphone or computer that that meets the Mass Market criteria (as described in Note 3 of Cat. 5 Part 2) that is made available free of charge would be considered "publicly available". In this case you would have to first comply with the mass market requirement under 740.17 (b)(1) or (b)(3) by self-classification as 5D992.c with self-classification report (or submitting classification request to BIS) only once. Then, if the item is made publicly available (e.g., free to download) it would be considered not subject to the EAR anymore.

（たとえば、スマートフォンまたはコンピューター用に作成され、マスマーケット基準( Cat. 5 Part 2の注記3に記載)を満たし、無料で利用できるアプリは、「一般に利用可能」とみなされます。この場合、まず、自己分類レポートによる5D992.cとしての自己分類(またはBISへの分類リクエストの提出)によって、740.17(b)(1)または(b)(3)に基づくマスマーケット要件に準拠する必要があります。その後、そのアイテムが一般に公開された場合（たとえば、無料でダウンロードできる場合）、そのアイテムは EAR の対象ではなくなったとみなされます。）

なので、無料アプリとしてストア公開している場合は5D992（先のQuick Reference Guide参照）で自己分類レポートを出せばよい。

b. Hardware components or ‘executable software’, of existing items described in paragraph a. of this

Note, that have been designed for these existing items, and meeting all of the following:

1. “Information security” is not the primary function or set of functions of the component or ‘executable

software’;

2. The component or ‘executable software’ does not change any cryptographic functionality of the

existing items, or add new cryptographic functionality to the existing items;

3. The feature set of the component or ‘executable software’ is fixed and is not designed or modified to

customer specification; and

4. When necessary, as determined by the appropriate authority in the exporter’s country, details of the

component or ‘executable software’, and details of relevant end-items are accessible and will be provided

to the authority upon request, in order to ascertain compliance with conditions described above.

本項a.に記載された既存品目のハードウェア部品または「実行可能ソフトウェア」。

これらの既存品目用に設計されたものであり、以下の全てを満たすもの：

1. 「情報セキュリティ」が、コンポーネントまたは「実行可能ソフト ウェア」の主要機能または一連の機能ではないこと；

2. コンポーネントまたは「実行可能ソフトウェア」は、既存項目の暗号機能を変更したり、 既存項目に新たな暗号機能を追加したりしない；

3. コンポーネントまたは「実行可能ソフトウェア」の機能セットは固定されており、 顧客仕様に合わせて設計または変更されていない。

4. 輸出者の国の適切な当局が必要と判断した場合、上記の条件への準拠を確認するため、コンポーネントまたは「実行可能ソフトウェア」の詳細、および関連する最終品目の詳細にアクセス可能であり、要求に応じて当局に提供されること。

Note: ‘Executable software’ does not include complete binary images of the “software” running on an end-item.

Note to the Cryptography Note:

1. To meet paragraph a. of Note 3, all of the following must apply:

a. The item is of potential interest to a wide range of individuals and businesses; and

b. The price and information about the main functionality of the item are available before purchase without the need to consult the vendor or supplier. A simple price inquiry is not considered to be a consultation.

2. In determining eligibility of paragraph a. of Note 3, BIS may take into account relevant factors such as quantity, price, required technical skill, existing sales channels, typical customers, typical use or any exclusionary practices of the supplier.

暗号技術に関する注記

1.注3のa.項を満たすには、以下の全てに該当しなければならない：

a. その品目は、広範な個人や企業が関心を持つ可能性がある。

b. その品目の主な機能に関する価格と情報が、ベンダーや供給業者に相談する必要なく、 購入前に入手可能であること。単純な価格照会は相談とはみなされない。

注 3 の a.の適格性を決定する際、BIS は、数量、価格、必要な技術力、既存の販売チャネル、典型的 な顧客、典型的な用途又は供給者の排除的慣行等の関連する要素を考慮することができる。

ここでバイナリは含めないことが発覚。

Technical Note 1 under 5A002.a defines what ‘cryptography for data confidentiality’ means:

1. For the purposes of 5A002.a., 'cryptography for data confidentiality’ means “cryptography” that employs digital techniques and performs any cryptographic function other than any of the following:

a. "Authentication";

b. Digital signature;

c. Data integrity;

d. Non-repudiation;

e. Digital rights management, including the execution of copy-protected "software";

f. Encryption or decryption in support of entertainment, mass commercial broadcasts or medical records management; or

g. Key management in support of any function described in paragraph a. to f. above.

5A002.aのテクニカルノート1は、「データ機密性のための暗号」が何を意味するかを定義している：

a. 「認証」；

b. デジタル署名

c. データの完全性

d. 否認防止

e. 複写保護された「ソフトウェア」の実行を含むデジタル著作権管理；

f. エンターテインメント、大量商業放送、医療記録管理を支援する暗号化または復号化。

g. 上記a.からf.に記載された機能をサポートする鍵管理。

The use of cryptography limited to a-g listed above, results in a classification of the product NOT in 5A002.a. In that case, you should review other entries in Category 5 Part 2 and other Categories on the CCL (e.g., Cat. 4 or Cat. 5, Part 1). If it is not described in any other Category then it can be classified as EAR99.

上記のa～gに限定された暗号の使用は、製品の分類が5A002.aに該当しないことを意味します。この場合、カテゴリー5パート2およびCCLの他のカテゴリー（例えば、カテゴリー4またはカテゴリー5パート1）の他の項目を確認する必要があります。他のカテゴリーに記載がない場合は、EAR99に分類することができます。

以下a~gの定義。

“Authentication” is defined as: Verifying the identity of user, process or device, often as a prerequisite to allowing access to resources in an information system. This includes verifying the origin or content of a message or other information, and all aspects of access control where there is no encryption of files or text except as directly related to the protection of passwords, Personal Identification Numbers (PINs) or similar data to prevent unauthorized access.

認証」は次のように定義される： 多くの場合、情報システム内のリソースへのアクセスを許可するための前提条件として、ユー ザー、プロセス、またはデバイスの身元を検証すること。これには、メッセージまたはその他の情報の出所または内容の検証、および不正アクセスを防止するためのパスワード、個人識別番号（PIN）または同様のデータの保護に直接関連する場合を除き、ファイルまたはテキストの暗号化がないアクセス制御のすべての側面が含まれる。

多くのケースがこの認証に関連してる場合がある。

Digital signature, data integrity and non-repudiation functions are also not covered by Cat. 5, Part 2. These are means for providing proof of the integrity and origin of data.

デジタル署名、データ完全性、否認防止機能も、Cat. 5, Part 2の対象外である。これらはデータの完全性と出所の証明を提供する手段である。

Digital Rights Management (DRM), including copyright protection, is encryption that is used to verify that someone has a right to download or use software or view content. Examples include:

License key product protection and similar purchase validation

Software and hardware design IP protection

Piracy and theft prevention for software, music, etc.

著作権保護を含むデジタル著作権管理（DRM）とは、誰かがソフトウェアをダウンロードしたり、使用したり、コンテンツを見たりする権利を持っていることを確認するために使用される暗号化です。例えば、以下のようなものがある：

ライセンスキーによる製品保護と同様の購入検証

ソフトウェアおよびハードウェア設計の IP 保護

ソフトウェア、音楽などの著作権侵害および盗難防止

Encryption/decryption in support of entertainment, mass commercial broadcast and medical records management in also excluded. Examples include:

Games and gaming – devices, runtime software, HDMI and other component interfaces

Music movie, tunes/music, digital photos – dedicated players, recorders, and organizers

LCD-TV, Blu-ray/ DVD, Video of Demand, cinema, digital video recorders (DVRs)/ personal video recorders (PVRs)

devices, on-line media guides, commercial content integrity and protection, HDMI and other component interfaces

Medical/ clinical – including patient scheduling, and medical data records confidentiality.

エンターテイメント、大量商業放送、医療記録管理をサポートする暗号化／復号化も除外される。例えば、以下のようなものがある：

ゲームおよびゲーム-デバイス、ランタイムソフトウェア、HDMI およびその他のコンポーネントインターフェイス。

音楽映画、楽曲/音楽、デジタル写真-専用プレーヤー、レコーダー、オーガナイザー。

LCD-TV、ブルーレイ／DVD、ビデオ・オブ・デマンド、映画館、デジタル・ビデオ・レコーダー（DVR）／パーソナル・ビデオ・レコーダー（PVR）。

デバイス、オンライン・メディア・ガイド、商用コンテンツの整合性と保護、HDMI およびその他のコンポーネント・インターフェース

医療／臨床 - 患者のスケジュール管理、医療データ記録の機密保持を含む。

ここから先のフローでようやく利用する暗号鍵のスペックについて言及される。

自分の場合は認証に該当したのでここで終了。