中国の“インターネット安全法”とは

中国政府は６月１日に“インターネット安全法”を施行しました。昨年より囁やかれていたにも関わらず今年の５月時点では日本企業の９割がインターネット安全法を「知らない」と答えていました。インターネット安全法は、インターネット関連商品およびインターネットサービスを中国の基準に適合させることや、中国で収集したデータは中国国内に保存すること、海外に持ち出す際には当局による審査を受けることなどが義務付けられており、米国をはじめ日本や欧州の企業から懸念の声も聞かれています。そこで、具体的な内容と懸念ポイントについてスポットをあててみました。

世界の団体からの意見は通らず

このインターネット安全法は、２０１５年６月から全国人民代表大会常務委員会で数回の審議を経て２０１６年１１月７日に可決されました。全７章７９条から成り「インターネットの安全の保障、インターネット空間における国家の安全と社会の公益の維持、公民・法人・その他の組織の合法的な権益の保護」などが目的とされており、「中国国内でのネットワーク構築・運営・維持・使用する場合、およびインターネットの安全を管理監督する場合」に適用されるものです。同法では、主にインターネットの安全な運営やインターネット上の情報の安全確保、情報漏えいなどが発生した際の対策、そして、同法に違反した場合の罰則などについて定められています。
中国では「インターネット上のセキュリティレベルを上げる」ための法律として報道されていますが、重要部分の抜粋を要約すると、
・インターネット関連商品およびインターネットサービスを中国の基準に適合させなければならない
・中国で得た個人情報、重要情報は中国国内で保存しなければならない
・これらを国外に持ち出す場合は所定の審査を受けなければならない
・事業社はユーザーに実名登録を求めなければならない
・事業者は国家の安全のために協力(情報提供、技術サポート)しなければならない
となっており、結果的に中国国内でインターネット関連サービスを運営する事業者が管理する個人情報や重要情報を中国政府が把握できてしまうということが懸念されます。これは中国籍の事業者はもちろんのこと国外の事業者にも適用されるのです。このほかに、外資系企業の中国国内での活動に影響を及ぼす可能性がある条文も盛り込まれており、５月１５日には中国に進出する米国企業の組織である“米中ビジネス協会”を中心に、米国・欧州・日本など５４の経済団体が「インターネット安全法には重大な懸念がある」とした意見書を当局に提出して施行の延期を求めていたにも関わらず、同法は予定どおり６月１日に施行されたのです。

外国企業にとっての懸念ポイント

外国企業にとってはこのインターネット安全法に対する懸念ポイントがあります。インターネット関連商品に中国基準への適合を義務付けている点で、同内容は、第２２条「インターネット関連商品およびインターネットサービスは、それらに関する国家基準に合致しなくてはならない」、第２３条「インターネットの重要設備とインターネットセキュリティー商品は、それらに関する国家基準に合致させなくてはならず、審査資格を持つ機構による安全認証の合格もしくは安全検査要件に適合した後に、販売もしくは提供できる」などの条文が記載されており、これらの条文によってインターネット関連商品とインターネットサービスは、自国製のものではなく中国の基準に合致したものを新たに構築することが必要になると考えられるのです。同条文に対し、前記の意見書では「外国企業が中国企業と対等に競争できない懸念がある」としています。ほかにも、中国の基準に合致したインターネット関連商品またはインターネットサービスに変更する際のコストの発生、セキュリティー情報およびセキュリティーソフトやシステムの稼働情報の流出などの問題が発生し得るとメディアなどは報じています。

懸念ポイントその２

２つ目は、中国で得たデータは中国国内で管理しなければならなくなる点です。例えば、第３７条「重要情報インフラの運営者は中国国内で情報インフラを運営する際に収集、作成した個人情報と重要なデータを国内で保存しなくてはならない。業務上の必要があり、これらの情報を国外に提供する際は、国家インターネット情報部門会と国務院の関連部門が制定した法律に従って審査を受けなくてはならない」と記されており、前記の意見書では、「外国企業のコストの大幅な増加、競争の制限、商品の安全性の弱体化などの懸念がある」と指摘しています。また、中国で得た顧客情報を中国以外の国で得た情報と統合できなくなるなど、情報のグローバル活用に支障を来す可能性もあるのです。

懸念ポイントその３

３つ目は、さまざまな状況下で中国当局による審査を受けなくてはならなくなる点です。同内容は第３７条に加えて第３５条「重要情報インフラの運営者はインターネット関連商品およびインターネットサービスを購入する場合、それらが国家の安全に影響を及ぼす可能性がある時は、国家インターネット情報部門会と国務院の関連部門の安全検査を受けなくてはならない」、第３８条「重要情報インフラの運営者は自らもしくはインターネット安全サービス機構に委託し、そのインターネットの安全性やリスクの存在の可能性について最低年１回の検査を受け、検査結果と改善措置を関係する重要情報インフラの安全保護を行う部門に送らなくてはならない」などの記載があり、これらにより、年１回の検査およびその報告が義務付けられたほか、「国家の安全に影響を及ぼす可能性がある時」には、中国国内で得たデータを国外に持ち出す際に当局の検査を受けなくてはならなくなります。なお、条文内の“検査”については、「サーバーの検査」まで必要になるのか、企業・技術・顧客情報の流出につながるリスクが生じる可能性はないか、現時点では分かりません。さらに、“国家の安全に影響を及ぼす可能性”についても具体的表現でありません。同法に繰り返し出てくる「重要情報インフラ」や「インターネット関連商品およびインターネットサービス」などの定義も曖昧で、加えて、同法は施行されたばかりで、現時点では細則も定まっていません、こうしたことからインターネットに対する規制強化を懸念する声も少なくありません。

中国ビジネスに与える影響は

中国のメディアでは個人情報の保護、インターネット上のセキュリティ確保、インターネットを利用した詐欺を取り締まるための法律という点に主眼がおかれ、結論として中国のインターネットセキュリティレベルが高まるという点が伝えられていますが、越境ＥＣなど中国ビジネスにおいては幾つかの懸念材料があります。
・中国国内で個人情報、重要情報を保存しなければならなくなることにより、現在中国国外のサーバーで運用しているサービスは中国国内にサーバーを設置しなければならなくなるかも知れません。
・本法律により検閲の強化やアクセス遮断が正当に行えるようになるかもしれず、もしそうなれば事業者はサイトの表示速度の問題や、最悪の場合遮断によりサイト運営自体が本法律により継続できなくなくかもしれません。
・本法律の２２条に越境ＥＣ等での物品の販売が含まれる場合、法文通り中国の基準に合わせなければならず、その場合は基準外の商品を販売しているサイトは違法となり、罰則の対象となってしまいます。
・実名での登録は必須となることに加え、ＩＤ情報をサイト側に提供しなければならなくなるかもしれず、そうなると、大切な個人情報であるＩＤを提供するという心理面からの購買意欲の低下に繋がるかも知れません。

６月１日以降、実際にこの法律が適用された事案などの情報が乏しく実態が把握できていないのが実情です。また当法律の法文自体に曖昧な表現があり適用範囲・条件など判断に迷う点も多く、まだ推測でしか語ることができず「かも知れない」という表現が多くなりました。今後はニュース報道などを基に状況を把握して中国ビジネスへの影響に注目していかなければなりません。参考までに「中華人民共和国のインターネットセキュリティ法」を翻訳編集したもののリンクを以下に掲載します。

【中華人民共和国のインターネットセキュリティ法[翻訳文]】

情報参照元：
https://www.jetro.go.jp/biznews/2017/06/2ab3a0189ac86a3d.html