ITARとDFARS:電子部品調達と製造が知っておくべきこと
電子業界は、私たちの日常生活におけるその重要性を考えると、予想通り非常に厳格に規制されているセクターです。これは、特に防衛および航空宇宙アプリケーションに関しては、特に当てはまります。国際武器取引規制(ITAR)および国防連邦調達規則補足(DFARS)という2つの主要な規制が、防衛関連技術の輸出入および使用を規制しており、これらの規制に違反すると、電子機器メーカーは法的および財政的な重大な結果に直面することになります。
もし契約メーカー、設計会社、またはOEMで、これら2つの重要な規制の包括的な概要を探しているなら、あなたは正しい場所にいます。コンプライアンスを確保し、リスクを軽減し、ビジネス運営を保護し、国家安全保障に貢献するための要件、課題、およびベストプラクティスについて知るために、読み進めてください。
ITARとDFARSを理解する
ITAR:防衛技術の保護
ITARは、国務省が管理する一連の米国政府規制で、軍事および航空宇宙アプリケーションで使用される幅広い電子部品およびシステムを含む、防衛品目およびサービスおよび関連技術データの輸出入を制御します。
主要なITAR要件には以下が含まれます:
- 制御対象品目の輸出に必要な輸出許可の取得。例えば、特定の種類の暗号化アルゴリズム、特に強力な暗号化機能を持つものや、放射線耐性マイクロプロセッサなどの特殊なマイクロプロセッサを外国に輸出する場合、許可が必要です。
- 防衛品目の開発に寄与する可能性のある技術データの普及を制御すること;制御対象品目に関する技術データを外国人に共有することは、その人が米国市民であっても、見なし輸出とみなされ許可が必要になる場合があります。
- 米国内で外国人と技術データを共有する際にITAR要件を遵守する。
- 輸出活動と技術データ転送の正確な記録を保持する。
DFARS: 防衛供給チェーンのセキュリティを確保する
DFARSは、一方で、米国国防総省(DoD)によって発行された一連の規制であり、契約、調達、および下請けを含む防衛取得に関する追加のガイドラインと要件を提供します。
DFARSの主要な要件には以下が含まれます:
- 制御された未分類情報(CUI)およびその他の機密データを保護するための確かなサイバーセキュリティ対策を実施すること、これには多要素認証、暗号化、定期的なセキュリティ監査などの特定の措置が含まれます。NIST SP 800-171サイバーセキュリティフレームワークに従うこと、これはサイバーリスクを管理するための一連の標準、ガイドライン、およびベストプラクティスを提供します。そして、情報セキュリティマネジメントシステムの確立、実施、運用、監視、レビュー、維持、改善のためのモデルを提供する国際標準であるISO/IEC 27001との整合性を図ります。
- 知的財産権を保護し、データ権利要件を遵守すること。
- 供給チェーンのセキュリティと完全性を確保すること、これにはサプライヤーのスクリーニングと監視が含まれます。これは、サプライヤーに対して徹底的なデューデリジェンスを実施し、彼らのセキュリティ実践を検証し、彼らが懸念のある国に位置していないことを確認することを含みます。
- 中小企業の下請け目標を達成すること。下請け要件を満たすために積極的に中小企業を探し出し、成功するために必要なサポートを提供すること。
- 契約授与および管理プロセスに従うこと、これにはコストおよび価格データ要件が含まれます。
- 正確な記録を維持し、DoDに必要な報告を提供すること。
電子機器ビジネスのコンプライアンス課題
エレクトロニクス企業は、ITARおよびDFARSを扱う際に厳しい規制の迷宮に直面します。この分野の新しい会社にとっては気が遠くなるようなことかもしれませんが、乗り越えられないわけではありません。ここでは、最も一般的な障害のいくつかを紹介します:
|
包括的な課題 |
具体的な問題 |
例 |
|
管理対象アイテムの特定 |
複雑な分類 |
特定の製品、コンポーネント、または技術データがITARまたはDFARSの対象かどうかを正確に判断することは、これらの規制の範囲が広く、頻繁に更新されるため難しい場合があります。 |
|
技術の変化 |
技術が進歩するにつれて、規制の変更に追いつき、新しい製品や技術が正しく分類されていることを確認することが難しくなる場合があります。 |
|
|
輸出ライセンス要件 |
官僚的な障壁 |
必要な輸出ライセンスを取得することは、複数の政府機関と広範な文書作成が関与する時間がかかり、複雑なプロセスになることがよくあります。 |
|
出荷の遅延と収益の損失 |
輸出ライセンスの遅延は、サプライチェーンを混乱させ、納期を逃し、会社の収益に悪影響を及ぼす可能性があります。 |
|
|
サイバーセキュリティ対策の実施 |
脅威の拡大 |
技術が進歩するほど、悪意のあるサイバー攻撃の対象となる範囲は広がります。これにより、成長する技術インフラ内に保持される機密情報を保護するために、サイバーセキュリティ対策を継続的に適応させる必要があります。 |
|
リソースの制約 |
巨大な多国籍企業とは異なり、小規模なビジネスでは、強固なサイバーセキュリティプログラムを実施し、維持するための十分なリソースを割り当てることに課題を抱える場合があります。 |
|
|
サプライチェーンのセキュリティを確保する |
グローバルサプライチェーン |
多くの電子機器ビジネスは、世界の多くの地域にまたがるさまざまなステークホルダーと国々を通じて相互接続されたグローバルサプライチェーンに依存しており、すべてのサプライヤーのセキュリティと信頼性を確認することが困難です。 |
|
偽造部品 |
製造市場が成長するにつれて、サプライチェーンに偽造部品が入り込むリスクが高まり、そのようなコンポーネントは製品の品質、性能、およびセキュリティを損なう可能性があります。 |
|
|
小規模ビジネスの下請け目標を達成する |
資格のある下請け業者を見つける |
必要な技術的およびセキュリティ要件を満たす小規模ビジネスを特定し、資格を与えることは、多くの時間を要します。 |
|
下請け業者のパフォーマンスの管理 |
下請け業者がITARおよびDFARSの要件を遵守し、高品質の製品を提供することを確実にすることは、同様に困難です。 |
特定のビジネスロールのためのITARおよびDFARS
OEM向けのITARの基本要件
防衛および航空宇宙産業に関わるOEMは、ITAR規制の範囲に従う必要があります。これには、
- 製品、コンポーネント、および技術データを正確に分類し、それらがITARの管理下にあるかを判断すること。制御されたアイテムと技術データの輸出に必要な輸出許可を国務省から取得すること。これには、詳細な輸出許可申請の完了と正確なエンドユーザー声明の提供が含まれます。
- 輸出ライセンス、出荷文書、および技術データ転送を含む、すべての輸出活動の正確な記録を保持すること。これは、コンプライアンス監査および後の潜在的な調査に不可欠です。
- 不正アクセス、盗難、または損失からITAR管理情報を保護するためのサイバーセキュリティ対策を実施すること。これには、ネットワーク、システム、およびデータの保護、定期的なセキュリティ評価の実施が含まれる場合があります。
- 契約メーカーのためのDFARS
DoDまたはその契約者にコンポーネントまたはシステムを供給する契約メーカーは、特定のDFARS条項に準拠する必要があります。これには、
CUIおよびその他の機密データを保護するためのサイバーセキュリティ対策の実施が含まれ、これには通常、NISTサイバーセキュリティフレームワークおよびその他の業界標準への準拠が含まれます。
- サプライヤーのセキュリティ実践とITARおよびDFARSへの準拠を評価するための徹底的なデューデリジェンスを実施します。このプロセスには、サプライヤーの場所の確認、監査の実施、およびサプライヤーセキュリティ契約の実装が含まれます。
- 小規模企業のための下請け目標を含むことがあるDFARSの下請け計画に準拠します。
- 技術データとソフトウェアの所有権と使用を規制するDFARSデータ権利条項を理解し、それに準拠します。
設計会社とITAR/DFARS
防衛および航空宇宙プロジェクトに関与する設計会社も、ITARおよびDFARS規制の両方を認識している必要があります。これには以下が含まれます:
ITARの影響:
- アメリカ国内であっても、外国人への技術データの普及を制御します。
- 技術データの輸出に対する輸出許可の取得。
DFARSの要件:
- サイバーセキュリティ要件に準拠し、CUI、データ権利、および知的財産を保護します。
- 特定の技術データの使用と開示を制限する可能性のあるデータ権利条項に従います。
ITARおよびDFARSコンプライアンスのベストプラクティス
ITARおよびDFARSの非遵守に関連する多くのリスクがあります。そのことを念頭に置いて、電子機器事業は、効果的かつ堅牢なコンプライアンスプログラムを確立すべきです。専任の個人またはチームを割り当てて、管理対象アイテム、輸出管理、サイバーセキュリティ、およびサプライチェーンのセキュリティに関する明確かつ簡潔なポリシーと手順を開発することを目的としたコンプライアンス努力を監督すべきです。その後、定期的なトレーニングセッションを実施して、ITARおよびDFARSの要件に関する従業員の知識を教育し、最新の状態に保つ必要があります。これには、コンプライアンスの重要性と非遵守の潜在的な結果に特に重点を置くべきです。
効果的な輸出管理を確保するために、事業は管理対象アイテムを特定するために製品、コンポーネント、および技術データの徹底的なレビューを実施し、それらがITARの管理対象かどうかを確立する必要があります。適切な政府機関から必要な輸出ライセンスを申請し、取得し、輸出ライセンス、出荷書類、およびエンドユーザー声明を含むすべての輸出活動の正確な記録を維持する必要があります。
その上で、悪意のある行為者から機密情報とシステムを保護するために適切なサイバーセキュリティ対策が講じられていることが不可欠です。
- サイバー攻撃、データ侵害、および不正アクセスなど、潜在的なリスクを特定して評価します。
- 機密情報およびシステムへのアクセスは、許可された人員のみに限定します。
- ソフトウェアとハードウェアの両方を最新のセキュリティパッチやアップデートで常に最新の状態に保ちます。
- 従業員にサイバーセキュリティのベストプラクティスを理解させ続けます。これには、パスワードのセキュリティ、フィッシングへの警戒、およびソーシャルエンジニアリングの戦術が含まれます。
サプライチェーンのセキュリティは、ITARおよびDFARSコンプライアンスにおいて別の重要な問題点です。常にサプライヤーに対して徹底的なデューデリジェンスを実施し、AS9100D品質管理基準およびDoDによって開発されたサイバーセキュリティ成熟度モデル認証フレームワークを含む必要な基準への準拠を確保するために、各候補をスクリーニングおよび評価します。また、潜在的なセキュリティ脅威を特定し、偽造品や不良品の導入を防ぐために厳格な品質管理措置を実施します。サプライチェーンを通じたコンポーネントの旅の不変のデータを提供するブロックチェーン技術ソリューションを検討する価値もあるかもしれません。
防衛請負業者にとって、小規模ビジネスの下請け目標を達成することは重要な要件です。企業は技術的およびセキュリティ要件を満たす資格のある小規模ビジネスの下請け業者のネットワークを特定し、作成する必要があります。小規模ビジネス利用目標の遵守を確保するために、下請け支出の正確な記録を維持し、小規模ビジネスに識別、勧誘、契約を授与するために講じた手順を文書化する必要があります。
ITARおよびDFARS規制を理解し、遵守することは、防衛および航空宇宙産業で活動する電子機器提供者が考慮すべき最も重要な要素の一つです。堅実なコンプライアンスプログラムは、リスクの軽減、評判の保護、および米国政府とのビジネスを継続する能力の維持に役立ちます。しかし、ITARとDFARSが一つに複雑であり、二つに常に変化していることに注意することが重要です。最新の要件に追いつくためには、法律および輸出管理の専門家と相談することが価値があります。専門的なガイダンスは、これらの規制に準拠するために必要なすべての手順を踏む上で大いに役立ちます。
そして、積極的なコンプライアンスが不可欠であることを忘れないでください。会社の将来を守り、国の安全に貢献するために、強力なプログラムへの投資を行ってください。
機密性の高い電子設計データを管理するための安全な環境をお探しですか? Altium 365 GovCloudを発見してください!
筆者について
関連リソース
関連する技術文書
目次
世界で最も信頼されているPCB設計システムを利用しましょう。
一つのインターフェース。一つのデータモデル。無限の可能性。
機械設計者との効率的な共同作業。
世界で最も信頼されているPCB設計プラットフォーム。
業界最高クラスのインタラクティブルーティング。
ライセンスオプションを見る
Back
Thank you, you are now subscribed to updates.
