サイバーセキュリティー審査弁法の意見募集稿、貿易や外交など非技術的要素も審査

国家インターネット情報弁公室および国家発展改革委員会など12部門は5月24日、合同で「サイバーセキュリティー審査弁法の意見募集稿」（以下、同弁法）を発表した。6月24日まで意見を受け付ける。

同弁法は、「重要情報インフラ（注）」の安全性および制御可能性のレベルを高め、国家の安全を守る目的で制定されるもので、サイバーセキュリティー審査の対象、義務、観点などが盛り込まれている。

対象には、「重要情報インフラの運営者」が明記され、それらによるネットワーク製品・サービスの調達が、国の安全に影響を与える、または影響を与える可能性がある場合は、同弁法に従い、サイバーセキュリティー審査を行わなければならないとされた。

また、「重要情報インフラの運営者」の義務として、ネットワーク製品・サービスを調達するに当たり、製品・サービスの投入後にもたらされる潜在的なセキュリティーリスクをあらかじめ判断し、報告書を作成しなければならないことや、大量の「個人情報」と「重要データ」の漏えい、紛失、毀損（きそん）、国外への流出といった状況が生じる可能性がある場合は、サイバーセキュリティー審査弁公室に審査を申請しなければならないことなどが示された。

観点としては、調達活動がもたらし得る国家安全へのリスクを重点的に評価するとした上で、「政治、外交、貿易などの非技術的要因により、製品・サービスの供給が中断する可能性を含めた、製品・サービスの可制御性、透明性およびサプライチェーンの安全」や「製品・サービスの提供者が外国政府から受けている資金援助、支配などの状況」なども審査の主要な要素として考慮するとした。

同弁法には、「サイバーセキュリティー審査に当たり、リスク防止と先進技術の応用の促進、公正性、透明性の強化と知的財産権保護を統合することを堅持する」との文言が新たに盛り込まれたことを踏まえ、「貿易摩擦の背景の下、われわれが依然として開放、公正という原則的立場を堅持していることを表している」（中国情報安全研究院の左暁棟副院長）との評価がある一方で、政治、外交、貿易等の非技術的要因により、製品・サービスの供給が中断する可能性が審査における考慮の要素となることを踏まえ、「今後のインターネット安全審査業務は、技術面だけの審査にとどまらないことを意味する」との専門家の指摘もある（「南方都市報」5月24日）。

（注）2017年6月1日に施行された「サイバーセキュリティー法（インターネット安全法）」では、「公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要な産業および分野、ならびにひとたび機能の破壊、喪失またはデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラ」（重要情報インフラ）の運営者に対し、中国国内で収集・発生した「個人情報」および「重要データ」を、中国国内に保存することを義務付けており、業務の必要により国外に提供する必要がある場合は、規則に従って安全評価を行わなければならないとされている（2019年5月30日記事参照）。「重要データ」については今後、関連法規で明確化される予定。

（藤原智生）