SPNの眼
執筆:山岡渉
1.前書き
本年6月1日、中国で施行された法律「中国サイバーセキュリティ法※」をご存じだろうか。同法は端的に、インターネットにおける中国の主権確保と安全保障を目的としており、中国で事業を手がける外国企業に対して、大きな影響をもたらすものである。
その内容については欧米諸国から懸念の声があがっており、たとえば英国の高級紙「フィナンシャル・タイムズ」は、同法の施行翌日に社説を発表し、「明らかに市民の言論と思想の統制を強化するだけでなく、グローバル企業が中国で操業する際の非関税障壁となる。その保護主義的な姿勢によって、ひいては中国企業の国際競争力も奪いかねない」と、厳しい論調で批判している。
かたや日本では関心はさほど高くないのが現状である。一部調査では、日本企業の90.6%は同法を理解しておらず、47.2%はその存在すら知らなかった。また、中国で事業を手がける企業に限っても、対策を検討しているのはわずか3.2%しかに過ぎなかったという(いずれもデロイトトーマツリスクサービス社、本年4月調べ)。
本年5月の改正個人情報保護法施行や来年のEU一般データ保護規則施行に比べると、多くの国内企業がいまだ情報収集にとどまっており、欧米諸国に比べるとまだまだその動きは鈍い。
本稿では、中国におけるサイバーセキュリティを俯瞰しつつ、同法について概説し、国内企業におけるリスクを考えたい
※なお、同法の原語は「网络安全法」であり、「インターネット安全法」とも直訳できる。これを邦訳とする媒体もみとめられるが、中国政府公式の英訳は「Cybersecurity Law of the People’s Republic of China」であり、「中国サイバーセキュリティ法」と訳すのが一般的になりつつある。本稿もこれに従う。
また、同法の附則では「网络」の定義をインターネット技術に限定しておらず、デジタルデータの行き来を幅広く射程に収めているため、この点からも「インターネット安全法」という邦訳はそぐわないのではないかと考える。
2.ふたつの「サイバーセキュリティ」概念
そもそも「サイバーセキュリティ」とは何か。サイバー空間に対する立ち位置は各国によって千差万別であるが、その概念は大きく二つに分かれる。
ひとつは、通信・金融・エネルギーなどを始めとする「国民の社会生活や経済活動の基盤となっている国家重要インフラに対するサイバー攻撃」を脅威とみなし、その保護を目指すものだ。前提としては、サイバー空間を自由なものとしてとらえており、米国・欧州諸国・日本はこの理念をかまえている。
もうひとつは、国家重要インフラへの脅威だけでなく「国内体制を不安定にする情報」も脅威とみなす考え方である。サイバー空間を政府がコントロールすべきとしてとらえ、「その情報が脅威にあたいするかどうか」を決めるのは当該政府であり、その恣意性のもとに「サイバーセキュリティ」が運用される。中国とロシアはこの理念を国家戦略として明確にかまえており、アラブ諸国・アフリカ諸国もこれに近いスタンスを取っている。
両者の隔たりは小さくなく、大まかには、米国主導のサイバー空間管理に中国とロシアが共闘して抵抗する構図にある。
たとえば、サイバー犯罪を規制するための国際条約「サイバー犯罪条約」においては、2014年7月の発効から米国・欧州諸国・日本など主要国が相次いで締約するなか、中国・ロシア・アラブ首長国連邦などは継続して反対運動を展開している。
あるいは、欧米各国が1998年に「ITセキュリティ分野における国際相互承認に関するアレンジメント」を締結し、IT製品のリスク管理を相互に承認するなか、中国とロシアは国内IT事業者の優遇政策を進めており、その主眼は安全保障にあると推測されている。とりわけ中国においては、2014年12月以降、IT製品業者に対してプログラム設計図の提出、強制監査の受け入れ、「バックドア」の設置義務などの規制が設けられており、外国企業の参入がいちじるしく阻害されている。
この「バックドア」とは、正規には公開されないシステムの「裏口」を指し、対象のシステムを第三者がハッキングしたり盗み見したりする際に使われる。この設置が義務付けられることは、機密保持における大きな懸念となることは言うまでもない。
総じて、中国セイバーセキュリティ法を考えるにあたっても、「日本や欧米とはサイバーセキュリティの考え方が、まったく異なる」ことに留意する必要がある。
3.中国におけるサイバーセキュリティ法制史
中国のサイバーセキュリティ法制は欧米諸国には立ち遅れ、情報技術やサイバー空間にかかる公式な戦略が定められたのは比較的最近のことだ。
まず2003年、胡錦濤政権下において情報セキュリティについて検討する部門が初めて設けられた。人民解放軍と政府の要職者によって構成されたこの部門は、暗号化とセキュリティ研究・人材教育にかかるガイドライン策定に取り組んだ。
ついで2012年、引きつづき胡錦濤政権下の最高行政機関「国務院」が政策文書を発表し、インターネットを管轄する部門が開設された。この文書ではインターネット地域格差の是正やモラルの管理、電子政府などについて目標が設定されており、主に情報化における経済成長や政府機能の向上に重点が置かれていた。
しかしながら同年末には、胡錦濤国家主席が「情報セキュリティは国家の重大な重要事項である」と明言し、翌年には、国家ネットワークの防護を重点目標とした戦略計画を発表した。(この際には、人民解放軍も「サイバー攻撃を受けたら反撃する」方針を定め、積極的防衛戦略を展開する姿勢を明らかにしており、すでにサイバー空間における主権の設定をはかっていたことがうかがえる)。
その後の習近平政権下では、この観点が安全保障とサイバーセキュリティ戦略にシフトしていく。2014年にはサイバーセキュリティを扱う部門が新設され、習主席みずからがこの部門長に就任することで〝本気度〟を示した。
これ以降、中国のサイバーセキュリティ政策は大きく加速し、国家レベルで散在していたサイバーセキュリティ法令の集約が進められることとなるが、これは単なる法整備にとどまらず、習近平政権が政治課題として掲げた国務院への中央集権化とも一致しており、掲題の「中国サイバーセキュリティ法」制定に向かう。
4.中国サイバーセキュリティ法の概要
前項までの流れを受けた2016年11月、全国人民代表会議において「中国サイバーセキュリティ法」が可決され、本年6月1日より施行された。
同法の初案が提出されたのは2015年6月のことであり、審議を経た第3案に至って施工されるまで丸2年を要した。また、この過程ではパブリックコメントの募集が2回も行われたほか、米国大使館や日米欧の在中商工会議所との意見交換も行われた。
同法の要点は以下7つにまとめられる。
- 個人情報の保護
- 中国国内での個人情報の収集、仕様、保護に関する要件が明確化された。
- 用語「ネットワーク運営者」
- これにあたる事業者は、セキュリティにかかる責任を負うことが明確化された。
- 用語「重要情報インフラ運営者」
- これにあたる事業者は、その保護を名目に中国当局の強い統制を受けることが明確化された。
- 機密情報の保存
- 中国国内で収集・生成された個人情報やデータは、中国国内で保管することが義務付けられた。
- 国外へのデータ移転
- 原則的に禁止されることが明確化された。
- セキュリティ製品の認証
- 重要なサイバー設備・セキュリティ製品については、中国当局のセキュリティ認証が義務付けられた。
- 法的責任と罰則
- サイバースペースにおける中国当局の強い権限が規定され、違反者には高額な罰金を含む罰則が与えられることが明確化された。
しかしながら、各条文にはその理解に幅を持たせた箇所が多く、外国企業から不安と困惑の声があがっている。次節から、項番(2)ネットワーク運営者と(3)重要情報インフラ運営者の定義範囲について、また(4)機密情報の保存と (5) 国外へのデータ移転の要件について触れたい。
5.対象事業者はだれなのか
(1) 「ネットワーク運営者」
同法では、まず「情報を収集・保管・交換・処理するシステムコンピュータおよびそのほかの情報端末ならびに関連する設備からなるシステム」を「ネットワーク」と定め、これを所有する者&管理する者&提供する者すべてが「ネットワーク運営者」と定義している。また、同法の附則では必ずしもインターネットに限定しておらず、情報の行き来が幅ひろく含まれることとなる。
日本や欧米各国でネットワーク運営者といった場合は、主に通信事業者・無線通信事業者・インターネットサービス提供事業者を指すことが多いが、中国サイバーセキュリティ法ではこれに加えて、「中国でITネットワークや情報システムを保有し、運営するありとあらゆる組織・企業」が含まれることとなる。
たとえば、オンラインサービスを提供する金融機関やECサイト事業者だけでなく、ITサービスを運用する多くの企業が、この定義にあたると解されている。規制対象としての包括性は、サイバーセキュリティ法制をかまえる先行各国で類を見ない。
主な義務としては、中国の国家規格に基づくセキュリティ要件を満たすこと、当局の監査を受け入れること、利用者に実名を登録させること、そして、「国家の安全を維持しつつ犯罪の捜査を行うために、公安当局を技術的にサポートすること」などが定められている。
また、「公安当局を技術的にサポートする」際には、当該事業者のシステムを当局に開示せざるを得ず、中国における政治風土や伝統的な商慣習に鑑みた場合、さらなるセキュリティリスクひいては深刻なビジネス上のリスクを抱えることにもなりかねない。
中国政府は、ネットにおける政府批判やネガティブ情報を外国からのサイバー攻撃とみなすきらいがあり、サイバー空間におけるコンテンツにも強力に介入するほか、事業者にもその責任を負担させる。同法の立法手続きにおける最終工程では、あらたな義務として「誤りを削除ないし訂正する処置を講じなければならない」との項目が加えられており、事業者は(たとえ自社従業員向けのサービスにおいても)エンドユーザの投稿や動向をきびしく監視する必要を迫られている。
(2) 「重要情報インフラ運営者」
前項(1)の「ネットワーク運営者」の中でも、当局が「重要情報インフラ運営者」とみなした事業者は、さらに厳しい要件を課せられる。
この対象については、公共通信・情報サービス・エネルギー・交通・水資源・金融・公共サービス・電子行政に関わるあらゆる事業者、そして、「破壊されたり機能しなくなったりデータが漏洩したりした場合に、国家安全保障・国家経済および公共の利益に深刻な打撃を与えるおそれのある事業者」が含まれるとされる。
中国政府は別途詳細な定義をガイドラインとして提示するとしているが、条文上は、ネットワークを運用するあらゆる民間事業者が、この定義下に収められる懸念があり、一部報道では、「ある外資系企業が国務院に照会したところ、多数の取引先情報を保有する顧客管理システムも、重要情報インフラとみなされるとの回答を受けた」との報告もある。
この重要情報インフラ運営者とみなされた場合、前項(1)の「ネットワーク運営者」にかかる義務に加えて、重要な役職者にかかる身辺調査の実施、中国当局によるセキュリティ監査を経たネットワーク製品やセキュリティ機材の導入、個人情報や重要データを国外移転する際には当局によるセキュリティ評価を受けること、自社ネットワークの定期検査の実施、などが義務づけられる。
このうち、ネットワーク製品やセキュリティ機材については、中国の国内規格やセキュリティ認証に準拠した製品しか使用できず、事実上、中国企業の製品・サービスしか認められない可能性がある。設計図やバックドアの設置までは義務付けられていないものの、今後の運用に際しては、当局がこれらの要件を求める懸念も捨てきれない。
中国が2007年に策定した「情報セキュリティマルチレベル保護スキーム」では、事業者を重要度ごとに分類してセキュリティ要件をさだめるなかで、「重要情報インフラ運営者(※この定義は中国サイバーセキュリティ法とは異なる)」については中国当局への厳しい監査に応じた企業の製品しか使用が認められておらず、欧米企業のセキュリティ製品は認められていない。
なお、この基準下では、政府機関では基本ソフト「ウィンドウズ」の使用も認められず、中国当局における国内企業の優遇および海外企業への強い不信感がうかがえよう。
こういった状況の中では、在中日本企業がある日突然「重要情報システム事業者」とみなされ、その規制下に(強制的に)置かれた場合のビジネス上のリスクははかり知れない。
6.データの国外移転の禁止
中国サイバーセキュリティ法では、個人情報および「当局が重要とみなすデータ(=重要データ)」の海外移転もまた大きなハードルが課せられることとなった。
同法では、事業者が中国国内で取得・生成した個人情報については、原則的に中国国内で保管するよう義務付けている。業務上やむを得ない場合に限り、中国当局に移転の旨を申請し、当局によるセキュリティアセスメントを経る必要があるが、その手続きは煩雑で、移転の都度2~3ヶ月を要することとなる。この重要データの要件には、人数要件と総量要件が設けらている。比較的算定がしやすい人数要件(50万人以上)に比べ、総量要件(50GB以上)についてはそのデータ形式に明確な定義が無く、保有と取扱に際して当局への慎重な確認が求められる。
また、個人情報については、すべての情報主体からの同意(いわゆるオプトイン)がなければ移転は認められず、同意を得た場合でも、移転にかかる詳細を情報主体に全面開示する必要がある。既に保有する個人情報について、事後承諾をすべて得ることは実質的には不可能に近いだろう。
これらの要件を満たしたとしても、当局が「国の政治体系・経済・科学技術・国防にリスクをもたらす、ないしは中国社会・公共の利益を損なうと判断した場合」あるいは「中国政府が必要とみなすその他の状況」にあたると判断すれば、その国外移転は禁止されてしまう。
この禁止事項における恣意性・不透明性は際だっており、世界でもっとも厳しいデータ移転制限ともいえ、個人情報や重要データの国外移転をはかる事業者にとっては大きな困難をもたらすことが懸念される。
対応策として、たとえば以下のような方法があげられるが、事業者は厳しい選択を迫られよう。
- データ移転をはかるがセキュリティシステムを本国と中国で切り離す方法
- データ移転における当局の監査では、当該事業者のセキュリティシステムが開示されることとなり、副次的なリスクに発展する懸念がある。そのリスクを極小化するためには、本国と中国でまったく異なるセキュリティシステムを構築し、中国における開示事項やリスクが、本国まで及ばないように隔離することが有効だ。しかしながら、構築における費用と時間的なコストは小さくない。
- 中国企業と連携して中国国内にデータセンターを設ける方法
- いわば「データ移転をあきらめる」選択肢である。たとえば本年7月、米国アップル社は中国サイバーセキュリティ法への対応を目的に、中国国内にデータセンターを設置した。中国企業との強固な連携のもとにあり、当然、当局の要求基準を満たしている。
裏を返せば、本稿でここまで触れてきたさまざまなリスクを、あくまで経営判断として受け入れた形だ。総人口14億に迫ろうかという中国の消費需要は底知れず、拡大余地も小さくない。中国での事業展開にかかるメリットと、前掲のリスクをどう評価するのか。事業者は、シビアかつ高いレベルでの経営判断を迫られることとなろう。
- いわば「データ移転をあきらめる」選択肢である。たとえば本年7月、米国アップル社は中国サイバーセキュリティ法への対応を目的に、中国国内にデータセンターを設置した。中国企業との強固な連携のもとにあり、当然、当局の要求基準を満たしている。
7.日本企業はどう取り組むべきか
ここまで中国サイバーセキュリティ法の概要を参照してきたが、それでは在中日本企業は、同法にどう対策をとればよいのか。同法をめぐっては、当局の見解や解釈の恣意性に左右される向きもあり、中国における政治風土や伝統的な商慣習に照らした場合、その不透明性はいっそう深まることとなるが、同法のさだめる猶予期間は2018年中であり、残された時間は多くない。
繰り返しとなるが、「取引先情報を保有する顧客管理システムも、重要情報インフラとみなされる」と目される状況下では、社内で電子データを扱うほとんどの企業がこれに該当することになる。また、同法施行以降に中国支社で採用する従業員については、取得する個人情報の業務利用・保有についてこまかく承諾を取る(=オプトイン)必要がある。その従業員データについても、(自発的に個人が利用するECサイトなど越境取引を除けば)日本国内の本社で保管することは相当難しくなる。
伝統的に、中国の立法手続きにおいては漠然と包括的な条文でまず法制化し、時間をかけて実運用を経て細則を整備し、あとに続けていくことがほとんどである。「大きく構えて小さく収める」リスク管理の鉄則に従えば、まずは本法にかかる当局や他企業の動向をしっかりモニターし、情報収集につとめるべきだろう。
それと並行して、中国支社における現状把握につとめる必要がある。同法にかぎらずサイバーセキュリティ法制が進められており、さまざまな法律・規程・規制類が整備されつつあるなかでは、同法における当局の強力な制御と罰則に鑑みれば、(同国における)コンプライアンス対応を進めつつ、より実効性をともなった情報管理体制を築くことが望ましい。
中国ではかつて、「地方政府の担当官と良好な関係を築いていれば、問題なくビジネスが進められる」「中央政府が定める基準と〝現場の基準〟は乖離している」といった風聞にあったが、近年の腐敗撲滅にかかる官民の気運は高い。これまでは法律を適用されないグレーゾーンで操業できていても、ある日突然、当局の立ち入りを受けることも充分に有りえよう。
そもそも日本企業においては、緊張を強める日中関係を背景に、当局の動向が恣意性を帯びる懸念は少なくない。また、当局の制裁をくだされた場合は、ほかの外資系企業に比べて、大きな風評ダメージを受けることが懸念される。
くわえて留意すべきは、中国当局においては、「安全保障のためのサイバーディフェンス」と「中国企業のためのサイバー攻撃」が混然としている点である。たとえば2014年5月、米国司法省は米国企業に対するサイバー攻撃の容疑で、人民解放軍の将校5名を起訴した。本訴はまったく安全保障関連ではなく、中国企業の商業利益を目的とした、純然たる経済スパイ容疑である。通常の民主主義国家とは政体が異なるなかでは、当局からも企業秘密を守る視点が必要だろう。
同法については、欧米諸国にならったサイバーセキュリティ法制整備の一例とする見方もあれば、当局によるインターネットへの過度な介入とする見方もある。筆者としてはいずれの立場にも与するものでもないが、事業者においては、脅威が増大の一途をたどるサイバー犯罪に備えつつ、当該国におけるコンプライアンス推進も両輪で推進すべきと思料する。
もっとも、個人情報やサイバーセキュリティをめぐっては、中国に限らず、今後各国で法整備が進められていくと思われる。本稿でも触れたように、当該国それぞれ固有の歴史的な経緯や置かれている状況等のうえに制度が構築されていくことに留意し、事業展開をはかる必要があろう。
以上