1. サイバーセキュリティ法がついに可決
中国の全国人民代表大会(全人代)の常務委員会は 2016 年 11 月 7 日、インターネット分野の安全保障を目的とした「网络安全法(網絡安全法)」、いわゆる“サイバーセキュリティ法”の法案を可決した。施行は 2017 年 6 月 1 日からとなっている。
今年 6 月に第二次草案が発表された際、政府関係者は「早ければ年内にも成立」と発言していたが、パブリックコメントの募集を締め切ってわずか 3 カ月での法案可決はいささか性急な印象を受ける。2015 年に発表された最初の草案の段階から、日本を含む世界の商工団体や企業、人権団体などは強い懸念を表明し、たびたび意見書を提出したり書簡を送ったりしてきた。しかし今回可決された法案で、企業に当局への調査協力を義務付ける文言は変更されておらず、広義に解釈できるあいまいな表現や不明確な規定も修正されないままとなっている。
2. 日本企業への影響が考えられる条項
まず用語の定義について第七章の附則を確認すると、「网络(網絡)」とは“コンピューターやその他の情報端末、関連設備等で一定のルールとプログラムによって生成されたデータの収集、保存、転送、交換、処理を行うシステム”と記されており、インターネットだけに限定していない点に留意する必要がある(本レポートでは「情報ネットワーク」と記す)。また「网络运营者(網絡運営者)」は、情報ネットワークの所有者、管理者および情報ネットワークサービスの提供者と定義しており、いわゆるインターネット付加価値サービスの提供企業も含まれるものと想定される。
本法案の目的は「サイバースペースにおける主権と国家の安全および社会の公共利益を維持するため、また公民、法人、その他組織の合法的な権益を保護し、経済社会の情報化の健全な発展を促進するため」となっている (第一条)。さらに「中国国内における情報ネットワークの構築、運営、管理保守、使用、およびサイバーセキュリティの監督管理に適用される」(第二条)と明記されており、外資企業か中国企業かを問わず、中国でビジネスを展開する企業に加え、インターネットを使用する一般ユーザーも対象となると考えられる。
またサイバーセキュリティに関する作業の取りまとめや管理監督は国家インターネット情報部門が主管し、電信主管部門、公安部門、その他関連機関は各自の職責の範囲内でセキュリティの確保と管理監督作業を行う (第八条)。
情報ネットワークの利用にあたっては、「国家は公民や法人およびその他の組織が法に従って情報ネットワークを使用する権利を保護する」とし、インターネットの普及を推し進める方針を示す一方で、「いかなる個人や組織も情報ネットワークを使って、国家の安全や栄誉、利益に危害を与えること、政権や社会主義制度の転覆を扇動すること、国家分裂や国家統一の毀損を教唆すること、テロリズムや過激主義を流布すること、民族への憎悪や差別を煽ること、暴力やわいせつな情報を流布すること、デマを流して経済や社会の秩序を混乱させること、他人の名誉やプライバシー、知的財産権やその他の合法的な権益を侵害することなどを行ってはならない」としており(第十二条)、中国政府がインターネットに関して何を恐れているのかが垣間見える。これらの禁止行為に関しては個人や組織からの通報を奨励しており、第二次草案にはなかった通報者のプライバシー保護を約束する文言が追加された(第十四条)。
続く第二章では、「情報ネットワーク安全標準体系」や「情報ネットワーク安全社会化サービス体系」などを国家主導で構築する方針が示されている。いずれも第二次草案の段階から具体的な内容を明らかにするよう求める声が出ていたが、依然として具体的な内容は示されてはいない。
企業のビジネス活動に影響するものとして、「情報ネットワーク製品およびサービスは、関連する国家標準に適合しなければならない」(第二十二条)という条項があり、これらの製品については「国家標準に適合しているか審査を行い、合格した設備と製品のリストを公開する」としている (第二十三条)。審査の詳細は明らかでないが、製品やサービスの選択肢が意図的に狭められる可能性は大いにあるだろう。
実名登録については情報ネットワークの運営者に対し「ネットワーク接続サービス、ドメイン登録サービス、固定電話・携帯電話の加入手続き、情報共有サービスやインスタントメッセージサービス等を提供する際に、利用者に真実の身分での実名登録を求めること」と定めている(第二十四条)。
また情報ネットワーク運営者に対して「公安機関および国家安全機関が法に基づいて国家の安全維持活動あるいは犯罪捜査を行う際、技術的支援と協力を行わなければならない」(第二十八条)と定めている。本項は草案の段階から諸外国が強い懸念を示しており、技術的支援とは特許やノウハウといった企業秘密の提供を含むのではないか、中国の安全保障のために海外企業が利用されるのではないかといった声が上がっていた。
さらに重要情報インフラ運営者(定義は不明確)に対し「中国国内での運営において収集・生成した公民の個人情報および重要な業務データは中国国内に保存すること。業務利用のためこれらを海外に提供する場合、規定に従いセキュリティ評価を行うこと」(第三十七条) と定めている。第二次草案の段階で指摘されていた保存が必要な業務データの範囲や保存期間、セキュリティ評価の内容や基準が明らかにされないままとなっており、機密事項の流出を含む企業運営への影響が懸念される。