ITARコンプライアンス規制、基準、罰則の理解
国際武器取引規則(ITAR)へのコンプライアンスは、米国の13,000以上の企業にとって必須です。あなたのビジネスはその一つですか?
ITARコンプライアンスは、防衛、航空宇宙、または防衛および航空宇宙産業向けの情報技術ソリューションを提供する多くの企業にとって重要です。したがって、ITARを理解し、遵守することはこれらの企業にとって不可欠です。
誰がITARコンプライアンスを必要とするのか?防衛用品のサプライチェーンのいずれかの部分を扱う企業は、製造、輸出、その他の防衛サービス、または防衛関連の技術データを扱う場合、ITARコンプライアンスが必要です。
このブログ記事では、ITARコンプライアンスの規則、基準、および罰則についての詳細な概要を提供し、企業がこの複雑な規制環境を効果的にナビゲートできるようにします。
国際武器取引規則とは何ですか?
民間の軍事情報と装備は、米国の安全保障にとって大きな責任です。拡大する物流とサプライチェーン、および増加するデジタルサービスプロバイダーやその他の請負業者により、武器、技術図面、保護されたデータの盗難の可能性は現実的で差し迫った危険です。この文脈で、「技術データ」は、米国武器リスト(USML)に関連する情報を指し、図面、設計図、報告書を含みます。
これらの資料を保護するために、ITARが作成されました。1976年に冷戦中の武器の安全性に関する問題に対処するために制定されたITARは、特に「防衛および宇宙関連」の政府プロジェクトおよび活動に関連するサービス、文書、技術のディレクトリであるUSMLを扱っています。このリストには、防衛産業基盤内の設計図、弾薬、装備の保管、管理、販売に関する情報が含まれています。
米国国務省の防衛貿易管理局(DDTC)がITARを管理および施行し、防衛技術の無許可のアクセスと外国の団体または個人への移転を防ぐことを目的としています。その管轄は、物理的な装備と装備に関する技術データの2つの広範なカテゴリをカバーしています。
これらはさらにより具体的なカテゴリに分かれています:
- 火器、近接攻撃武器、ショットガン
- 材料、化学物質、微生物、毒素
- 弾薬および兵器
- 発射体、誘導および弾道ミサイル、ロケット、魚雷、爆弾、地雷
- 爆発物およびエネルギー材料、推進剤、焼夷剤およびその成分
- 戦争用船舶および特殊海軍装備
- 戦車および軍用車両
- 航空機および関連装備
- 軍事訓練装備
- 防護用個人装備
- 軍用電子機器
- 火器制御、距離測定、光学、誘導および制御装備
- 補助軍用装備
- 毒物学的エージェント、化学エージェント、生物学的エージェントおよび関連装備を含む
- 宇宙船システムおよび関連装備
- 核兵器、設計および試験関連アイテム
- 分類された記事、技術データおよびその他に列挙されていない防衛サービス
- 指向性エネルギー兵器
- ガスタービンエンジン
- 潜水艦、海洋学および関連装備
- その他に列挙されていない記事、技術データおよび防衛サービス
これらのアイテムを管理または取り扱う組織は、防衛貿易管理局(DDTC)に登録する必要があります。
なぜITARコンプライアンスが重要なのですか?
ITARコンプライアンスは、いくつかの説得力のある理由から非常に重要です。まず第一に、米国の国家安全保障を確保するために、防衛関連の機密技術と情報を保護します。ITARコンプライアンスは、重要な防衛用品および技術データへの無許可のアクセスを防ぎ、それらが不正な手に渡らないようにすることを目的としています。
ITARコンプライアンスは、防衛産業における競争者間の公平な競争を維持する上でも重要な役割を果たします。防衛関連の記事およびサービスの輸出入を規制することにより、ITARは公正な競争を確保し、特定の企業に不当な優位性を与える可能性のある先進技術の無許可の移転を防ぎます。
最後に、ITARコンプライアンスは、米国の経済的および技術的利益を保護するのに役立ちます。防衛用品およびサービスの輸出を管理することにより、政府は貴重な知的財産を保護し、外国の団体による先進軍事技術の無許可の複製または生産を防ぐことができます。これにより、米国は技術的優位性を維持し、防衛革新のリーダーとしての地位を維持することができます。
ITARコンプライアンスとは何を意味しますか?
ITARコンプライアンスは、請負業者がUSMLのアイテムをどのように管理および取り扱うかを指します。これらのコンプライアンス要件の多くは、登録および報告義務に該当し、ソフトウェアおよびハードウェアシステムのコンプライアンスを維持し続けることを組織が示すためのものです。
ITARコンプライアンスには、いくつかの基本的な要件が含まれます:
- DDTCに登録する: DDTCのウェブサイトによると、USMLに該当するすべての「防衛用品(技術データを含む)の製造業者、輸出業者、一時輸入業者、およびブローカー」はDDTCに登録する必要があります。
- ITARコンプライアンスプログラムを実施する: 組織は、ITARの管轄下にある技術的USMLデータの監視、追跡、および監査を概説した計画を含む、文書化されたITARコンプライアンスプログラムを実施する必要があります。
- ITARセキュリティを実施する: 組織は、管理されるデータのクリアランスに基づいてセキュリティ要件を遵守する必要があります。秘密カテゴリの情報には独自のプライベートハードウェアネットワーク要件があります。対照的に、制御されていない分類情報(CUI)—武器および防衛に関連するが分類されていない機密情報—は国家標準技術研究所特別出版物800-171に従うことができます。
これらの要件は継続的に報告および監視されており、非コンプライアンス(基本的に米国の武器または秘密を危険にさらすこと)は厳しい罰則を伴います。それでも、いくつかの組織は、技術データや政府の免除などの状況で、国務省によって付与されるITARの下での免除を取得することができます。
自分がITARコンプライアントであるかどうかを知るにはどうすればよいですか?
自分の組織がITARコンプライアントであるかどうかを判断する最良の方法は、資格のある専門家に内部プロセスと手順をレビューしてもらうことです。これには、セキュリティプロトコル、従業員トレーニング手順、輸出管理ポリシー、およびその他の関連項目のレビューが含まれます。さらに、第三者のITAR認証を取得することで、コンプライアントな組織であることを追加で保証することができます。
ITARに非準拠の場合の罰則は何ですか?
どのコンプライアンスフレームワークと同様に、ITARは非準拠に対する特定の罰則を定義しており、非準拠の性質と組織の協力に関連しています。
DDTCのウェブサイト上のITAR文書によると、以下のいずれかを行うことは違法とされています:
- 国務省の承認なしに米国から防衛用品を輸出、輸入、または輸出入を共謀すること。
- 適切なライセンスなしに防衛用品を輸入、輸出、または交換を仲介すること。
- ライセンスおよびセキュリティ規制に従わずに政府と提携して防衛用品を製造すること。
- ITARコンプライアンス、ライセンス、または防衛用品の輸出、輸入、または仲介のためのその他の承認を取得しようとする詐欺を行うこと。
同意契約は、ITAR規則のユニークな部分です。組織がコンプライアンスを破った場合、特定の状況下で、彼らは財務義務とともに監視と是正に同意する同意契約に入ります。このプロセスは、サプライチェーンへの再入場の可能性を伴い、3〜4年続くことがあります。
ITARの下では、2つの罰則の階層があります:
- 民事罰: 民事罰はITAR第128条によって管理され、違反ごとに少なくとも100万ドルの罰金と、同意契約によって管理される是正期間中の少なくとも一時的な資格停止を含みます。民事罰は通常、意図しないまたは修正可能なものと見なされ、同意契約を許可します。
- 刑事罰: 刑事罰はAECA 22 U.S.C. 2778(c)によって管理され、通常、ITARを故意におよび意図的に違反する組織に適用されます。罰則は、違反ごとに最低100万ドルまたは最大20年の懲役および資格停止です。
ITAR製造違反とは何を構成しますか?
ITAR製造違反は、適切な米国政府の承認なしに防衛用品または関連技術データを製造、輸出、輸入、または移転する場合に発生します。これは意図的または無意識に行われる可能性があり、データまたは文書を電子的に送信または受信することを含むことがあります。
クラウドでITARコンプライアンスを維持することは可能ですか?
短い答えは「はい」です。
2019年12月、米国国務省は、組織が暗号化されたITAR制御ソフトウェアを使用することを前提に、クラウドにITAR関連データを保存できると判断しました。
この判断を促進するために、クラウドプロバイダーに対する活動の追加定義も作成され、特にITARデータをクラウドに保存する際にFIPS 140-2暗号化またはAES-128相当の暗号化を使用することが求められます。この定義は、USMLデータの輸出、再輸出、販売、移転、または輸入を含む規制された実践のリストに正式に追加されます。
Kiteworksで重要なデータを保護し、セキュリティを確保する
転送中および保存中の情報を保護することは、政府請負業者にとって重要です。これらの組織は、ビジネスファイル共有、分析、およびすべてのストレージメディアが暗号化され、ITAR内のベンダーリスク管理コンポーネントの一部として保護されていることを確認する必要があります。すべての報告、監査、および文書化は、業界の要件を満たす必要があります。
Kiteworksプラットフォームは、エンタープライズ企業および防衛サプライチェーンのメンバーにコンプライアントなセキュリティとエンタープライズグレードの機能をサポートする包括的なガバナンスと保護を提供します。Kiteworksに付属する機能の一部には以下が含まれます:
- セキュアなメールリンク: Kiteworksを使用すると、ユーザーはメールを送信するのではなく、強化されたサーバーにリンクを送信します。これにより、CMMCコンプライアンスを維持しながら、必要に応じて外部ユーザーにメールカバレッジを提供します。これにより、組織および第三者のパートナーは特定のPGP暗号化方法に縛られることを避けることができます。
- 暗号化と強化されたサーバー: Kiteworksは、保存中のデータに対してAES-256暗号化を使用し、転送中のデータに対してTLS 1.2+を使用します。その強化された仮想アプライアンス、詳細な制御、セキュアなファイアウォール、認証、およびその他のセキュリティスタック統合は、セキュリティに対する多層防御アプローチを提供します。包括的なログ記録と監査と組み合わせることで、組織は効率的にコンプライアンスを達成できます。
- 監査ログ: Kiteworksの不変の監査ログを使用すると、ユーザーは組織が攻撃を早期に検出し、法医学を実行するための正しい証拠の連鎖を維持できることを信頼できます。
- プライベートクラウド: ファイル転送、ファイルストレージ、およびアクセスは、専用のKiteworksインスタンスで行われ、オンプレミス、インフラストラクチャ・アズ・ア・サービス(IaaS)リソース、またはKiteworksによってクラウドにホストされます。つまり、共有ランタイム、データベースまたはリポジトリ、リソース、またはクロスクラウドの侵害や攻撃の可能性はありません。
- SIEM統合: Kiteworksは、IBM QRadar、ArcSight、FireEye Helix、LogRhythmなどの主要なセキュリティ情報およびイベント管理(SIEM)ソリューションとの統合をサポートしています。また、Splunk Forwarderを備えており、Splunk Appも含まれています。
- データの可視性と管理: KiteworksのCISOダッシュボードは、データがシステムをどのように移動するか、誰がそれを扱うか、いつ扱うか、どのように扱うかについての重要な知見を提供します。企業はこの情報を使用して、サプライチェーンリスク管理および第三者リスク管理(TPRM)を監督し、監査人向けのセキュリティおよびデータに焦点を当てた計画を策定する際に、重要なCMMC要件を通知することができます。
- 無制限のファイルサイズ: Kiteworksのセキュアなメールリンクを使用すると、組織は任意のサイズのファイルを共有できます。さらに、マネージドファイル転送およびストレージ機能を使用して、無制限のサイズのファイルを保存および共有することができます。
データ管理プラットフォームでのコンプライアンスとセキュリティについて詳しく知るには、Kiteworksのカスタムデモを今すぐスケジュールしてください。