Infostand海外ITトピックス

「サイバーセキュリティ法」可決、中国がサイバー空間の規制をさらに強化

政府による厳しい管理が可能に?

 サイバーセキュリティ法とは一体どのような内容で、何が問題なのか。法の英訳を交えて詳細に紹介しているLawfareが、ポイントをいくつか挙げている。例えば、(1)インターネット企業へのあいまいな要求、(2)重要な情報インフラに対する強い規制、(3)違反に対する幅広い罰則――などだ。

 (1)のあいまいさは法全体に言えることで、(2)の規制対象となる「重要な情報インフラストラクチャ」の定義すらあいまいだという。この内容では、「もし破壊あるいはハッキングされたら、国家のセキュリティ、国民の福祉、国民、公共の利益に危険を及ぼしうるもののほかに、公共向け通信や情報、電力、輸送、水道、財務、公共サービス、あるいはデジタルガバナンスまでもが対象と考えられる」とLawfareは述べている。

 ほかにも、21条では「ネットワークオペレーター」に「レイヤー化されたインターネットセキュリティ保護システム」を義務付けているが、従うべき義務は「法と規制が定めるあらゆる義務」というわかりにくいものだ。

 インターネット企業が公安組織に「技術的支援」を求める28条も、「国の安全保障と犯罪捜査で」との規定はあるものの、安全保障の範囲やどんな犯罪が該当するのかは書かれていない。中国法の専門家は「法の中に確固とした主義を見出すのが難しい」と指摘する。

 またサイバーセキュリティ法を批判する企業が特に問題視しているのが「中国で収集した個人情報やその他の重要なデータは、中国本土内に物理的に設置されたサーバーに保存しなければならない」(3章2項)というものだ。

 国外で情報を保存する必要がある場合は、これを実証して認められ、国務院と協力して特別なモニタリングプロセスを作ることを規定している。そういうモニタリングプロセスがバックドアになる可能性も考えられる。また、草案段階では、対象は該当する中国人の個人情報だったが、最終では全ての人に拡大された、とForbesは両者を比較して指摘している。

 Forbesはこれに加えて、政府の安全基準を満たすためには「重要なネットワーク機器と特別なネットワークセキュリティ製品」が要求される点も挙げる。この項目には海外企業の反対が多かったが、23条に残った。今後、中国政府は対象となる機器と製品のリストを公開するという。「願わくは、認証や安全検査がスタートする前にリストを公開してもらいたいが、その可能性は低そうだ」(Forbes)という。

 ネットワークオペレーターは、個人情報をビジネス用途で収集、使用、保存できるが、これにはユーザーの同意が必要だ。収集したデータを外部と共有するような場合はユーザーに通知しなければならない。不適切に収集、使用されたとわかった場合は個人が削除を要求できるという。

 また、ネットワークセキュリティインシデントの際に実施する緊急プランを作成し、実際にインシデントが起きた際はこの緊急プランを実行し、規制当局にも報告しなければならない。ここまでは一読するともっともらしい内容だが、ネットワーク通信を一部の「指定された」地域に制限しなければならないという条件が付いている。さらに、政府はネットワークオペレーターに技術支援や調査の支援を求める権限があるなどの文言も含まれているようだ。

 企業に対する罰則は、罰金が7400ドルから14万8000ドル。当局はビジネスライセンスの取り消しやWebサイト閉鎖命令も下せる。