米商務省、ロシアのカスペルスキーに取引禁止措置、情報通信技術サービス保護規則で初（米国、ロシア）

米国商務省産業安全保障局（BIS）は6月20日、ロシアのウイルス対策ソフト大手カスペルスキーの米国子会社に対して、アンチウイルス・ソフトウエアなどの製品・サービスの提供を禁止する最終決定をしたと発表した。同社の親会社や関連会社などにも適用する。24日に正式に官報で公示する。

今回の最終決定は、ドナルド・トランプ前大統領による情報通信技術サービス（ICTS）のサプライチェーンの安全確保を目的とした大統領令（2019年5月16日記事参照、注1）と、同大統領例に基づいて制定した規則（2021年5月13日記事参照）にのっとって、BISの情報通信技術・サービス局（OICTS）が行った。OICTSによる初めての最終決定となる（注2）。BISは、カスペルスキーがロシア政府の管轄・管理・指示下にあることや、同社が管理者権限によって米国顧客の機密情報にアクセスし、その情報をロシアに転送する可能性があることなどが国家安全保障に過度または容認できないリスクをもたらすと判断した。

今回の決定による禁止措置は2段階に分かれる。カスペルスキーは7月20日から米国内で、最終決定の付属書Bに記載した製品・サービスを含み、同社が全部または一部を設計・開発・製造・供給したサイバーセキュリティー製品・サービスや、アンチウイルス・ソフトウエアのICTS取引、同社が設計・開発・製造・提供するソフトウエアの全部または一部を第三者の製品またはサービスに統合するICTS取引、米国人（注3）との新たな契約締結を禁止する。

9月29日からは、カスペルスキーとその承継人または譲受人は、上述のICTS取引に関連するアンチウイルス・シグネチャ（注4）のアップデートや、カスペルスキー・セキュリティー・ネットワーク（KSN）を米国内または米国人による情報技術システム上で運用することを禁止する。なお、カスペルスキーの事業継承人以外でも、9月29日以降は同社のサイバーセキュリティーまたはアンチウイルス・ソフトウエアの再販、他の製品やサービスへの統合、これらを目的としたライセンシングを禁止する。9月末までアップデートなどが禁止されないことに対して、BISは、米国の消費者や企業への混乱を最小限に抑え、適切な代替手段を見つける時間を与えるためとしている。

カスペルキーに対する禁止措置の概要は、OICTSのウェブサイトから確認できる。

BISはさらに、カスペルスキーに関連するロシアと英国の3つの事業体について、ロシア軍やインテリジェンス当局と協力しているとして、エンティティー・リスト（EL）に追加した。ELに掲載された企業などに米国製品（物品、ソフトウエア、技術）を輸出・再輸出・みなし輸出などを行う場合は、BISの事前許可が必要となるが、原則として、申請しても不許可となる。

加えて、米国財務省外国資産管理局（OFAC）は6月21日、カスペルスキーの幹部ら12人を金融制裁対象の「特別指定国民（SDN）」に指定した。SDNに指定されると、在米資産の凍結や、米国人との資金・物品・サービスの取引禁止が科される。

（注1）当該大統領令は、商務長官に対して、米国の安全保障または米国人に容認できないリスクをもたらす、米国の司法権の対象となるICTS取引に、禁止またはリスク緩和措置を課す権限を与えている。

（注2）この件以外にも、バイデン大統領は2月に当該大統領令・規則を基に、中国などの情報通信技術を利用しているコネクテッドカーの安全保障上のリスク調査を指示している（2024年3月1日記事参照）。

（注3）米国人には、米国市民、米国永住者、米国の法律に基づく、もしくは司法権が及ぶ域内に存在する法人（外国支所も含む）、もしくは米国内に存在するあらゆる個人が含まれる。

（注4）マルウエアや不正アクセスの特徴的なパターンを指す。

（赤平大寿）

（米国、ロシア）