インターネット安全法が施行、外国企業にも中国基準を適用

(中国)

中国北アジア課

2017年06月19日

政府は6月1日、インターネット安全法を施行した。この法律では、インターネット関連商品およびインターネットサービスを中国の基準に適合させることや、中国で収集したデータは中国で保存すること、海外に持ち出す際には当局による審査を受けることなどが義務付けられており、米国をはじめ日本や欧州の企業から懸念の声も聞かれる。

ネット空間の安全や個人の権益保護が目的

政府が6月1日に施行したインターネット安全法は、2015年6月から数回の全国人民代表大会常務委員会での審議を経て、2016年11月7日の第12回全人代常務委員会第24回会議で可決された。7章79条から成るこの法律は「インターネットの安全の保障、インターネット空間における国家の安全と社会の公益の維持、公民、法人、その他の組織の合法的な権益の保護」などを目的に制定されており、「中国国内でネットワークを構築、運営、維持、使用する場合、およびインターネットの安全を管理監督する場合」に適用される。同法では、主にインターネットの安全な運営やインターネット上の情報の安全確保、情報漏えいなどが発生した際の対策、そして、同法に違反した場合の罰則などについて定められている。

世界54団体の意見書は通らず

このほかに、外資系企業の中国国内での活動に影響を及ぼす可能性がある条文も盛り込まれており、米国、欧州、日本などの経済団体などが施行の延期を求めていた。5月15日には、中国に進出する米国企業の組織である米中ビジネス協会(USCBC)を中心に、世界54団体(注)が「インターネット安全法には重大な懸念がある」とした意見書を当局に提出したものの、同法は予定どおり6月1日に施行された。

このインターネット安全法には、外国企業にとっての懸念ポイントが主に3つある。1つ目は、インターネット関連商品に中国基準への適合を義務付けている点だ。同内容は、「インターネット関連商品およびインターネットサービスは、それらに関する国家基準に合致しなくてはならない」(第22条)、「インターネットの重要設備とインターネットセキュリティー商品は、それらに関する国家基準に合致させなくてはならず、審査資格を持つ機構による安全認証の合格もしくは安全検査要件に適合した後に、販売もしくは提供できる」(第23条)などの条文に記載されている。これらの条文によって、クラウドサービスやセキュリティーソフトをはじめとするインターネット関連商品とインターネットサービスは、自国製のものではなく中国の基準に合致したものを使用することが必要になると考えられる。同条文について上記の意見書では、外国企業が中国企業と対等に競争できない懸念があるとしている。ほかにも、中国の基準に合致したインターネット関連商品またはインターネットサービスに変更する際のコストの発生、セキュリティー情報、セキュリティーソフトやシステムの稼働情報の流出などの問題が発生し得るとメディアなどは報じている。

データの中国国内での保存を要求

2つ目は、中国で得たデータは中国国内で管理しなければならなくなる可能性が高まる点だ。例えば、同法第37条には「重要情報インフラの運営者は中国内で情報インフラを運営する際に収集、作成した個人情報と重要なデータを国内で保存しなくてはならない。業務上の必要があり、これらの情報を国外に提供する際は、国家インターネット情報部門会と国務院の関連部門が制定した法律に従って審査を受けなくてはならない」と記されている。上記の意見書は、外国企業のコストの大幅な増加、競争の制限、商品の安全性の弱体化などの懸念があると指摘している。また、中国で得た顧客情報を中国以外の国で得た情報と統合できなくなるなど、情報のグローバル活用に支障を来す可能性もある。

3つ目は、さまざまな状況下で中国当局による審査を受けなくてはならなくなる点だ。同内容は第37条に加え、「重要情報インフラの運営者はインターネット関連商品およびインターネットサービスを購入する場合、それらが国家の安全に影響を及ぼす可能性がある時は、国家インターネット情報部門会と国務院の関連部門の安全検査を受けなくてはならない」(第35条)、「重要情報インフラの運営者は自らもしくはインターネット安全サービス機構に委託し、そのインターネットの安全性やリスクの存在の可能性について最低年1回の検査を受け、検査結果と改善措置を関係する重要情報インフラの安全保護を行う部門に送らなくてはならない」(第38条)などの記載がある。これらにより、年1回の検査およびその報告が義務付けられたほか、「国家の安全に影響を及ぼす可能性がある時」には、外国に中国国内で得たデータを持ち出す際に当局の検査を受けなくてはならなくなる。なお、条文内の「検査」については、サーバーの検査まで可能になるのか、企業、技術、顧客情報の流出につながるリスクが生じる可能性はないか、現時点では分からない。さらに、「国家の安全に影響を及ぼす可能性」についても具体的ではない。同法に繰り返し出てくる「重要情報インフラ」や「インターネット関連商品およびインターネットサービス」などの定義も曖昧だ。加えて、同法は施行されたばかりで、現時点では細則も定まっていない。こうしたことから、インターネットに対する規制強化を懸念する声も少なくない。

(注)米国の企業団体以外にも、欧州、オーストラリアの企業団体、日本商工会議所や日本経済団体連合会などが含まれている。

(楢橋広基)

(中国)

ビジネス短信 2ab3a0189ac86a3d