2021年7月、中国国家インターネット情報弁公室は、「滴滴出行(ディーディーチューシン)」、「運満満(ユンマンマン)」、「貨車帮(フオチエーバン)」、「BOSS直聘(ボスジーピン)」の各サービスに対して、サイバーセキュリティ法に基づく調査を実施すると発表した。これにより、これらアプリは新規ユーザー登録を一時停止した。いずれの運営企業も米株式市場への上場を果たしており、米中間の情報規制に関わるその動向に注目が集まっている。
中国政府がこれらの企業を調査対象とした背景には、米国証券取引委員会が2021年3月に可決した「外国企業説明責任法」の存在がある。また、中国国内では2020年6月に「サイバーセキュリティ調査法案」が正式に施行されている。米国による上場外国企業への開示義務が中国のサイバーセキュリティ法に抵触している可能性があることが挙げられており、米中間を揺るがしかねない情報規制合戦が繰り広げられている。その詳細について解説してみよう。
サイバーセキュリティ調査の対象となった企業:個人データの大量掌握、業務とインフラにも関連性
「滴滴一下,美好出行」(ディーディーで、出かけよう!)。中国最大の交通プラットフォームである同社の軽快なキャッチコピーは、風向きが変わったようだ。
2021年7月4日、中国国家インターネット情報弁公室は、「滴滴出行」のアプリに個人情報の収集と利用にあたって重大な法律違反が存在するとして、同社への立ち入り検査を実施することを発表した。同社は「中国当局の指示に従い、関係部門を精査し、サイバーセキュリティ調査にも積極的に協力した」と回答しているが、アプリは新規ユーザー登録を一時停止しており、調査が続いているようだ。
その翌日の7月5日には、「運満満」「貨車帮」「BOSS直聘」が相次いで同じく調査対象となったことが、サイバーセキュリティ審査弁公室より発表された。3社とも、膨大な個人情報データを保有し、その業務内容と情報インフラに大きな関連性が見られることが共通している。
まず「運満満」は、2013年創立の江蘇満運軟件科技有限会社が運営している。中国国内でクラウドコンピューター、ビッグデータなど、移動ネットワークとAI技術開発を活用したトラック配車サービスを展開しており、「世界レベルの運送調達と物流情報プラットフォームを保持する」と自ら称している。「貨車帮」も、中国最大のトラック物流ネットワークサービスを展開している。中国国内でトラック輸送インターネット情報プラットフォームを早期に立ち上げ、トラック輸送の総合サービスを提供し、中国国内で公路物流基礎施設を保有している。この2社はライバル企業であったが、2017年に「満帮集団(フル・トラック・アライアンス」として合併を果たしている。
一方の「BOSS直聘」は、AI知能やビッグデータの最前線技術を用い、雇用主と人材の高いマッチング精度を提供する、中国最大の求人マッチングアプリである。招聘期間の短縮や求職招聘の効率化を改善し実績を積んでいる。2021年3月時点の月間アクティブユーザー数は3,060万人、630万社もの認定企業にサービスを提供し、内82.6%が中小企業である。
江蘇省ビッグデータ交易流通工程実験室の李可順副主任によれば、今回調査対象となった企業は、人の移動、貨物運送、求人業界のトッププラットフォームであり、少なくとも各業界の80%以上のビッグデータを掌握している。これらのデータは中国各地の人口分布や商業力、人口・貨物の流動、企業経営などの状況を、直接または間接的に反映するものだという。
調査対象はいずれも米国上場企業、データ越境問題にも発展か
今回の調査対象となった企業の共通点は、米株式市場に上場を果たしたばかりという点だ。2021年6月11日、まず「BOSS直聘」が上場し、同年6月22日には「運満満」と「貨車帮」を保有する満帮集団が、さらには6月30日に「滴滴出行」が、相次いで上場を果たした。
一方、上場先の米国内では2020年6月に、参議院に「外国企業説明責任法案」が提出されている。これは、外国企業が3年連続で米国公開会社会計監督委員会での監査を通過しなかった場合、米国全ての株式市場への上場を廃止するというものだ。この決定には、重要データや個人情報漏洩への懸念が指摘されている。
そして2021年3月には、米国証券取引委員会で、「外国企業説明責任法案」の最終改正案が通過した。これにより、米国証券取引市場に上場する外国企業には、米国監査基準の遵守が必須となり、違反した場合は上場廃止となる。同法案は全ての外国企業に向けられたものだが、現在米国当局が把握する審査要件未達の上場企業の内、中国系企業が9割超を占めているという。
匯業法律事務所の李天航シニアパートナーは、「滴滴出行」は主に中国国内で事業を行う企業であり、所有するデータは基本的に中国国内に保管している。だが、米国での上場がデータ越境問題に影響を及ぼすことは不可避だろうと予測する。
中国のネットワーク・データ関連法が出揃う
2021年6月27〜29日に上海で開催された「サイバーセキュリティ博覧会」の様子(写真:人民視覚より)
昨今の中国国内の情報規制の動きとして、まず2017年6月1日に「サイバーセキュリティ法」が施行されている。2020年6月1日に施行された「サイバーセキュリティ審査弁法」は、今回3社の企業が調査を受けることになった根拠の一つといえよう。同法は重要情報インフラ運営者によるネットワーク製品・サービスの調達が、国家に安全保障上のリスクをもたらす可能性を重点的に評価するものである。
具体的には、商品・サービスの利用によって重要情報インフラが不法に制御されたり、破壊または損傷を受けたり、重要なデータが盗難、漏洩、破壊されたいするリスク、また商品・サービスの提供中止による重要情報インフラの事業継続性への影響、商品・サービスの安全性、開放性、透明性、ソースの多様性、サプライチェーンの信頼性、さらには政治・外交・貿易等を要因とする供給中断のリスク、商品・サービスのサプライヤーによる中国の法律、行政法規、関連部門規定の順守状況、その他重要情報インフラと国家の安全を脅かす要素について評価するとしている。中国当局のサイバーセキュリティ調査は、通常であれば45営業日以内に終わるが、状況が複雑であれば15営業日延長される。特別審査過程に進めば、さらに45営業日あるいはそれ以上の日数がかかることになる。
そして、今年2021年3月に「個人情報保護法(草案)」が全人大常務委員会で審議され、2021年11月1日に施行される予定である。また2021年6月には、「データセキュリティ法」が公布され、同年9月1日に施行された。
サイバーセキュリティ法、個人情報保護法、データセキュリティ法の3法令が出揃う事で、中国のインターネットに関する基本的な法律規定が整備されたことになる。この3法令に紐付けられた関連法、部門規定、地方規定などが、今後中国国内の各方面で公布されることになるだろう。
データセキュリティは、国家の安全保障上の重要事項に
データセキュリティ法31条では、重要データの越境移転に関するセキュリティ管理制度を明確に定めており、「重要情報インフラの運営者は、中国国内で収集・生成した重要データの越境移転におけるセキュリティ管理をサイバーセキュリティ法の規定に基づいて管理する」としている。その他のデータ処理者の重要データの越境移転におけるセキュリティ管理は、国家インターネット情報部門が国務院の関連部門と制定すると定めている。
これ以外に、データセキュリティ法は国外の司法・執法機関のデータ越境移転も厳格に制限している。同法36条によると「主管部門が承認するものでない限り、国内の組織・個人は外国司法または執法機関に対し、中国国内で保管されているデータを提供してはならない」としている。主管部門の承認を得ずに提供した場合の法的責任も具体的に規定されており、企業や直接の責任者に対する罰金のほか、企業の関連事業の一時停止や休業、業務許可証や営業許可の取り消しなどを命じることができる。
このように明確な法的責任を負うことは、36条の規定が企業に厳格に規定を順守する義務があることを意味するだけでなく、外国の司法当局からデータを提供するよう要求を受けた際の強力な法的根拠を有することになる。
今回の調査対象企業の動向、中国国内の情報統制への動き、さらには国家間の情報規制合戦の行方に、注目が集まる。