米調達規則に関するカスペルスキー社の製品除外規定(2018年10月1日から)

米調達規則による除外規定

少し古いですが、2018年6月13日にInternet Watchの記事に米国がカスペルスキー社の製品等を除外していたので、紹介します。

米政府のカスペルスキー製品使用禁止の件について、ユージン・カスペルスキー氏が語る　

記事中にある「米政府におけるカスペルスキー製品の使用禁止」とは、
2017年9月14日にPCWatchの「米国土安全保障省がカスペルスキー製品の排除を通達」の記事中に
「連邦政府機関においてロシアのセキュリティ会社「Kaspersky Lab.」の製品の使用を禁じる通達を行った」
と記載されています。

【やじうまPC Watch】 米国土安全保障省がカスペルスキー製品の排除を通達

これは、DHS((国土安全保障省))の2017年9月13日のニュースリリースにあります。

DHS Statement on the Issuance of Binding Operational Directive 17-01

同じく日経新聞2017年7月13日の記事にもありました。
「米政府は12日、ロシアの情報セキュリティー会社、カスペルスキー研究所を政府調達企業リストから外すと発表した。安全保障上の懸念があるとして「米政府のシステムやネットワークの安全確保を最優先とする」と指摘している。」

米政府、カスペルスキーの製品調達禁止　安全保障上の懸念指摘

米連邦調達規則

さて、条文は、Federal Acquisition Regulation(FAR：米連邦調達規則) subpart 52.204-23です。

52.204-23 Prohibition on Contracting for Hardware, Software, and Services Developed or Provided by Kaspersky Lab and Other Covered Entities. | Acquisition.GOV

Prohibition on Contracting for Hardware, Software, and Services Developed or Provided by Kaspersky Lab and Other Covered Entities (Jul 2018)
カスペルスキー及びその他の対象事業体によって開発又は提供されるハードウェア、ソフトウェア及びサービスの契約の禁止(2018年7月)

(a) Definitions. As used in this clause—
(a) 定義　この節で使用されている用語は以下のように定義する。
Covered article means any hardware, software, or service that–
対象物品は、次のようなハードウェア、ソフトウェア又はサービスを意味する。
(1) Is developed or provided by a covered entity;
(1) 対象の事業体によって開発または提供される。
(2) Includes any hardware, software, or service developed or provided in whole or in part by a covered entity; or
(2) 対象事業体によって全体的又は部分的に開発又は提供されたハードウェア、ソフトウェア又はサービスが含まれる。あるいは
(3) Contains components using any hardware or software developed in whole or in part by a covered entity.
(3) 対象事業体によって全体又は一部が開発されたハードウェア又はソフトウェアを使用するコンポーネントが含まれる。
Covered entity means–
対象事業体とは以下を意味する。
(1) Kaspersky Lab;
(1) カスペルスキー研究所
(2) Any successor entity to Kaspersky Lab;
(2) カスペルスキー研究所を承継した事業体
(3) Any entity that controls, is controlled by, or is under common control with Kaspersky Lab; or
(3) Kaspersky Labが管理する又は管理されている、あるいは同社と共通管理する事業体、あるいは
(4) Any entity of which Kaspersky Lab has a majority ownership.
(4) カスペルスキー研究所が過半数の所有権を保有する事業体

(b) Prohibition. Section 1634 of Division A of the National Defense Authorization Act for Fiscal Year 2018 (Pub. L. 115-91) prohibits Government use of any covered article. The Contractor is prohibited from—
(b) 禁止事項。2018会計年度の国防許可法(National Defense Authorization Act)のA章1634条(Pub.L. 115-91)は、政府による対象物品の使用を禁止する。請負業者は次項が禁止される。
(1) Providing any covered article that the Government will use on or after October 1, 2018; and
(1) 2018年10月1日以降に政府が使用する対象物品を提供すること。
(2) Using any covered article on or after October 1, 2018, in the development of data or deliverables first produced in the performance of the contract.
(2) 契約の履行において最初に作成されたデータ又は成果物の開発において2018年10月1日以降に対象物品を使用すること。

(c) Reporting requirement.
(c) 報告要件。
(1) In the event the Contractor identifies a covered article provided to the Government during contract performance, or the Contractor is notified of such by a subcontractor at any tier or any other source, the Contractor shall report, in writing, to the Contracting Officer or, in the case of the Department of Defense, to the website at https://dibnet.dod.mil. For indefinite delivery contracts, the Contractor shall report to the Contracting Officer for the indefinite delivery contract and the Contracting Officer(s) for any affected order or, in the case of the Department of Defense, identify both the indefinite delivery contract and any affected orders in the report provided at https://dibnet.dod.mil.
(1) 請負業者が契約の履行中に政府に提供された対象物品を確認した場合、又は請負業者が任意の委託先またはその他の下請業者から通知された場合、請負業者は書面で契約担当官に報告しなければならず、国防総省の場合はhttps://dibnet.dod.milのWebサイトにて報告しなければならない。未確定調達契約の場合、請負業者は未確定調達契約について契約担当官に、影響を受ける注文について契約担当官らに報告し、国防総省の場合は、未確定調達契約と影響を受ける注文の両方をhttps://dibnet.dod.milで提供される報告書で確定しなければならない。
(2) The Contractor shall report the following information pursuant to paragraph (c)(1) of this clause:
(2) 請負業者は、この節の(c)(1)に従って、次の情報を報告しなければならない。
(i) Within 1 business day from the date of such identification or notification: the contract number; the order number(s), if applicable; supplier name; brand; model number (Original Equipment Manufacturer (OEM) number, manufacturer part number, or wholesaler number); item description; and any readily available information about mitigation actions undertaken or recommended.
(i) 確定又は通知の日から1営業日以内：契約番号、注文番号、該当する場合は提供者名、ブランド名、モデル番号(Original Equipment Manufacturer(OEM)番号、製造元部品番号、又は卸売業者番号)、製品説明、実施又は推奨された緩和措置に関する容易に入手可能な情報。
(ii) Within 10 business days of submitting the report pursuant to paragraph (c)(1) of this clause: any further available information about mitigation actions undertaken or recommended. In addition, the Contractor shall describe the efforts it undertook to prevent use or submission of a covered article, any reasons that led to the use or submission of the covered article, and any additional efforts that will be incorporated to prevent future use or submission of covered articles.
(ii) この節の(c)(1)に基づいて報告書を提出してから10営業日以内：実施又は推奨された緩和措置について追加で入手可能な情報。また、請負業者は、対象物品の使用又は提案を防止するために行った努力、対象物品の使用又は提案に至った理由及び将来の使用又は提案を防止するために組込まれる追加の取組みについて説明する。
(d) Subcontracts. The Contractor shall insert the substance of this clause, including this paragraph (d), in all subcontracts, including subcontracts for the acquisition of commercial items.
(d) 下請契約。請負業者は、この(d)を含むこの節の内容を、商業物品の取得のための下請けを含むすべての下請契約に含めるものとする。

カスペルスキー社の対応

その後、カスペルスキー社は、2018年5月16日のPCWatch記事「Kaspersky、ソフトのアセンブリやデータ保存などコア機能をスイスに移管」にて、「根幹となるインフラの一部をロシアからスイスへ移管すると発表した。」とされています。
「同社は、ロシア政府の介入に対する懸念などを理由に、安全保障上の問題から、米国土安全保障省から政府機関で同社製品の使用禁止を通達されるといった、信頼性に関わる案件がいくつか報じられており、今回の発表内容は、それらに対する反応などを受けた動きとみられる」とされています。