EUのCCTVプロジェクトにおけるロシア製ソフトウェア(2026年):コンプライアンス、制裁措置、調達に関するレビュー
2026年に再び同じ疑問が浮上するCCTV設計者、システムインテグレーター、EU契約当局向けに、調達に焦点を当てた事実に基づいたレビューを提供します。CCTV設計ソフトウェアが関係する場合、原産地規則、制裁措置、データ所在地規則はどのように適用されるのでしょうか?この記事では、公開されている枠組みを要約しています。これは法的助言ではありません。具体的な調達決定はすべて、資格のある調達弁護士に確認してください。
重要:これは事実に基づいたレビューであり、法的助言ではありません。
制裁措置、輸出規制、調達規則は頻繁に変更され、EU加盟国間で解釈が異なります。本記事の内容は、いかなる特定の取引に関する法的助言として解釈されるべきではありません。拘束力のある決定については、関係する法域の資格を有する調達弁護士にご相談ください。公開されている基準、規制、判例への言及は、2026年5月時点において、当社の知る限り正確です。
目次
2026年のEU調達において、なぜこの問題が重要なのか
2022年以降、EUはロシアを標的とした複数の制裁措置を相次いで採択しており、加盟国の公共調達規則もそれに合わせて変化してきた。ソフトウェア調達への累積的な影響は甚大で、これまでソフトウェアの原産地について質問していなかった契約当局も、現在では資格審査段階で原産地開示要件を義務付けるのが一般的になり、制裁対象外の原産地を証明できない入札は、商業審査の前に排除されるのが常態化している。
CCTV設計ソフトウェアは、生成される成果物(フロアプラン、カメラ配置、ネットワークトポロジー、部品BOM )がセキュリティと運用の両面から機密性が高いため、特別なリスクカテゴリーに分類されます。制裁措置が特定のCCTV計画ツールを明示的に対象としていない場合でも、特に防衛、公共行政、重要インフラ、大規模な医療・運輸プロジェクトにおいては、発注機関は予防的な姿勢をとる傾向があります。
この記事は、インテグレーターのお客様から入札回答におけるソフトウェアの出所について質問を受け始めた当初、私たちがまさに必要としていた解説記事です。これは記述的なものであり、規範的なものではありません。CCTV設計者が調達担当弁護士に適切な質問ができるよう、分かりやすい言葉で枠組みを示すことを目的としており、弁護士との対話そのものを代替するものではありません。
現在のEU制裁枠組み ― 概要
EUによる対ロシア制裁措置は、欧州連合官報に掲載される理事会規則を通じて実施され、その後、度重なる改正によって更新される。この枠組みは、ソフトウェア調達に関連する3つの主要な柱に基づいて運用されている。
ソフトウェアに関連する3つの柱
- 輸出規制。 ロシアへの特定の物品、サービス、技術、ソフトウェアの供給に対する制限。分野別には、軍民両用、防衛、および特定の産業分野に重点が置かれている。
- 金融制裁。 資産凍結、および上場企業への資金や経済資源の提供禁止。「所有権と支配権」の判断基準は個々の事案に応じて異なり、ベンダー自体が上場企業でなくても、上場企業によって所有または支配されている場合にも適用される。
- 公共調達フィルター。 理事会規則(EU)833/2014(改正後)の規定は、特定のロシアの個人および団体への公共契約の授与を禁止しており、加盟国の調達法によって様々な形で転記および補足されている。
EUレベルの枠組みに加え、ドイツ、フランス、ポーランド、北欧諸国、バルト三国などの加盟国は、より厳格な基準を設けた独自の公共調達規定を導入している。その結果、たとえ特定の規定で明示的に指定されていなくても、あるEU加盟国では受け入れられる業者が、別の加盟国では排除される可能性がある。そのため、調達チームは、最も厳格な加盟国の規定を内部基準として適用する傾向がある。
米国側: NDAA第889条およびICTSに関する大統領令
米国側では、EUの調達担当者でさえ非公式な基準として日常的に引用する2つの文書NDAAある。NDAA §889(2019会計年度ジョン・S・マケイン国防授権法)は、連邦政府機関および連邦政府契約業者が、特定の中国メーカーから対象となる通信機器およびビデオ監視機器を購入または使用することを禁止している。情報通信技術・サービス(ICTS)に関する大統領令、主に大統領令13873号とその後継令は、米国商務省に外国の敵対国が関与する取引を審査する広範な権限を与えている。
いずれの条項も、通常のEU調達には法律上適用されません。しかしながら、調達テンプレートの文言として頻繁に用いられています。例えば、2026年のEU契約当局がCCTV入札の草案を作成する場合、§889自体が契約に関係ない場合でも、ベンダーに対し、自社のソフトウェア、ホスティング、および人員が§889相当の規則によって排除されないことを宣言するよう求めるのが一般的です。この宣言ができないベンダーは、提案内容の合法性に関わらず、競争上不利な立場に置かれます。
直接調達がCCTV設計ソフトウェアに与える影響
以下の4つのカテゴリーは、2026年のEU CCTVプロジェクトにおいて、ソフトウェアの起源に関する疑問が最も頻繁に発生する分野です。
公共部門の入札
政府、防衛、医療、教育分野の入札では、ソフトウェアの出所を明示する条項がますます多く含まれるようになっている。その発端となるのは、通常、前述の調達フィルタリング条項のいずれかであり、国内法への転換を通じて適用される。法的基準が議論の余地のある場合でも、実際には、適切な出所を証明できない入札は資格審査段階で排除される。2026年に公共部門の入札に応募する設計者は、監視ハードウェア自体だけでなく、設計プロセスで使用されるすべてのソフトウェアツールについて、出所を明確に宣言する必要があると想定しておくべきである。
重要インフラ契約
エネルギー、運輸、銀行、水道事業の調達は、NIS2(指令(EU)2022/2555)および重複する分野別規則によって規制されています。NIS2自体は原産地ベースではなくリスクベースですが、結果として得られるリスク評価では、サプライチェーンの原産地が関連要因として特定されることが多く、重要サービスの事業者はそれを調達フレームワークに組み込んでいます。重要インフラプロジェクトにおけるソフトウェアの原産地証明の基準は、一般的な商業調達よりも著しく高くなっています。
民間企業のコンプライアンス監査
独自のESG、サプライチェーン、またはサイバーリスクに関するフレームワークを持つ大企業は、サプライヤーおよび下請け業者を定期的に監査しています。特定の入札が関係していなくても、出所が証明できないソフトウェアを使用しているインテグレーターは、年次レビューの際に優先サプライヤーリストから除外される可能性があります。この傾向は2024年と2025年に顕著に加速し、2026年も続いています。
国境を越えたインテグレーター業務
EU域内と域外の両方で事業を展開するシステムインテグレーターは、調達基準が異なるため、より複雑な問題に直面します。ある地域では民間の商業プロジェクトで認められるツールでも、別の地域では公共プロジェクトの調達基準を満たさない可能性があります。多くのインテグレーターは、すべてのプロジェクトでEU製のツールを標準化することでこの問題を合理化し、将来の入札がどこで行われるかに関わらず、対応を簡素化しています。
購入者がソフトウェアの出所を確認する方法
調達担当者が原産地確認を行う際には、ごく標準的なツールキットを使用します。これらの確認はどれも単独では原産地を証明するものではなく、公開されている情報から複数の情報を組み合わせて全体像を把握するものです。
- ベンダードメインのWHOISレジストリ — レジストラ国、登録者組織、ネームサーバーASN。
- ベンダーの法人名、登録国、納税者番号の開示 ― 通常、資格審査時に要求される。
- ホスティングプロバイダーのレビュー ― SaaSインフラストラクチャが物理的に稼働するクラウドリージョンを、証明書または第三者ホスティング契約によって証明する。
- 公開されている企業登記情報 ― 実質的所有者登録簿、親会社構造、および制裁リストとの相互参照。
- サプライチェーン証明書 ― ソフトウェアがどこで開発、ホスト、サポートされているか、またサブプロセッサーの名前を記載した、ベンダーによる書面による宣言。
リスクの高い調達(防衛、重要インフラなど)の場合、評価はソースコードの出所、第三者によるセキュリティテスト、独立した法的意見にまで及ぶことがあります。より高度な評価にかかる追加費用は無視できないため、契約当局は通常、契約の価値や機密性がそれを正当化する場合にのみ、この評価を依頼します。
GDPR第三国へのデータ移転の観点から
GDPR第44条から第49条は、欧州経済領域外の国への個人データ移転を規定しています。原則として、欧州委員会による十分性認定、適切な補足措置を伴う標準契約条項などの承認された移転メカニズム、または特定の状況における例外規定のいずれかが適用されない限り、そのような移転は禁止されます。
欧州司法裁判所は、シュレムスII事件(事件番号C-311/18、2020年)において、標準契約条項は、移転先の国の法律を考慮し、実質的に同等の保護を提供しているかどうかを検討した移転影響評価によって補完されなければならないことを明確にした。ロシアは欧州委員会の十分性認定リストに含まれておらず、ロシアへの移転に関して「実質的に同等」の保護を達成することは、同国の法的状況を考えると困難であるとの解釈が一般的である。実際的な結果として、ロシアのサーバーまたはロシアの管轄下にある事業体に個人データを送信するCCTV設計ツールは、EU域内でホストされているツールには課されない、実質的な移転影響評価の負担に直面することになる。
CCTVプロジェクトにおいては、設計ツールが個人データに触れる頻度が人々の認識以上に高いため、この点は重要です。プロジェクトのメタデータ、エンドユーザーのサイト情報、アカウントのメールアドレス、サポートチケットの内容などがこれに該当します。GDPR GDPR真剣に遵守する購入者は、これらのデータがEU/EEA域外に流出し、GDPR第5章の審査対象となるような事態が発生しないことを保証してほしいと考えるでしょう。
CCTVplannerが存在する理由 ― EUでホストされ、EUで開発された
CCTVplannerは、ポーランドに登記されているDEFENSAR社によって運営されており、フロントエンドはポーランド国内、バックエンドはEU域内のクラウドインフラストラクチャ上にホストされています。これが「100% EUで設計・ホスト」という見出しの意味するところです。つまり、法人、設計、ホスティングのすべてがEU域内にあり、デフォルトのアーキテクチャには第三国のサブプロセッサーは存在しません。
調達チームにとって、これは上記の原産地開示に関する質問に対する簡潔で明確な回答を意味します。データパスのどこにも、ロシア、中国、または米国の管轄区域のサブプロセッサーは存在しません。データはEU域外に持ち出されないため、 GDPR第5章に基づく移転影響評価の負担はありません。サプライチェーンには§889に相当する不適格事由はありません。世界中のインテグレーターから信頼されているEU-by-defaultアーキテクチャは、2026年の調達に関する会話で最も頻繁に話題になる唯一の機能です。
EUの立場を1段落でまとめると…
- 運営主体であるDEFENSARは、ポーランドに登記され、ポーランドの税務上の居住者である。
- フロントエンドはポーランドでホストされ、バックエンドはEUリージョン(eu-west)のクラウド上でホストされています。
- デフォルトアーキテクチャには、第三国データサブプロセッサーは含まれていません。
- GDPRにデフォルトで準拠しているため、EUの購入者に対して別途移転影響評価を行う必要はありません。
「 JVSGからの切り替え」の現実
2026年にシステムインテグレーターからよく聞かれる実用的な質問は、「現在のCCTV設計ツールには満足していますが、調達チームがソフトウェアの出所開示をリスクとして指摘しています。移行はどのような手順で行えばよいでしょうか?」というものです。答えはほぼ機械的なものです。フロアプランをDXF形式でエクスポートし、CCTVplannerにインポートし、65,000種類以上のモデルカタログからカメラを再配置し、 DORIしきい値を合わせ、ケーブルを再配線し、複数ページのPDF成果物をエクスポートします。移行ガイドのリンク先に、手順を追ったプレイブックを用意しました。どの手順も特に難しいものではありません。一般的に最も難しいのは、切り替えそのものではなく、切り替えを決断することです。
特に調達主導の切り替えに関しては、移行の経緯を文書化することをお勧めします。具体的には、トリガーとなる事象、評価した代替案、選択した代替ツール、そして既存ツールがワークフローから廃止された日付を明記してください。調達担当弁護士とESG監査担当者は、文書化された意思決定を高く評価しており、移行ログはデューデリジェンス資料によく含まれる資料です。
免責事項(最後に)
本稿は、2026年5月時点の公開されている基準、規制、判例に基づいた事実に基づくレビューです。法的助言ではなく、管轄区域の資格を有する調達専門弁護士からの助言に代わるものではありません。制裁措置、輸出管理、調達規則は頻繁に変更され、EU加盟国間で解釈が異なります。具体的な調達決定を行う際は、当該契約当局、分野、管轄区域に精通した弁護士に確認する必要があります。
この記事中のいかなる記述も、特定の国、企業、またはベンダーのカテゴリーを貶める意図はありません。その目的は、2026年にバイヤーが経験する調達フレームワークを説明し、インテグレーターが資格審査段階を通過できる入札回答書を作成し、ワークフローを設計できるようにすることです。
よくある質問
Is software of Russian origin banned from EU public procurement in 2026?
There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.
Does the EU sanctions framework apply to design software, not just hardware?
Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.
How does GDPR interact with Russian-hosted software?
GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.
What is NDAA §889 and does it apply outside the United States?
NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.
What practical due-diligence does a procurement team perform on software origin?
Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.