2018年末に向けピークへ

　昨年6月1日に施行された「中国サイバーセキュリティ法」の対策支援ビジネスが活気づいてきた。IIJグローバルソリューションズやクララオンラインなどのITベンダーが、同法の解説や対策法を示すユーザー企業向けセミナーを精力的に開催しており、「満員の状況が続いている。お客様の関心は非常に高い」と担当者は口を揃える。同法は中国で事業活動するほぼすべての企業が対象で、セキュリティ管理体制の整備が求められる。2018年末に向け、対策支援の需要がピークに達していくものとみられる。（上海支局 真鍋 武）

　「中国サイバーセキュリティ法」は、ネット犯罪の防止や個人情報の保護などを目的として、従来以上にセキュリティ統制を強化するもの。国家インターネット情報弁公室は、「外資規制を狙ったものではない」と説明しているが、同法の適法範囲には中国で活動するほぼすべての企業が含まれ、対応が求められる。

　とくに、外資企業の懸念材料となっているのが、中国内で収集したデータの扱いだ。同法では、重要な情報インフラ運営者に対して、中国で収集した個人情報・重要データの国内保存を義務付けた。また、これらデータを海外に移転する場合は、関連部門が策定した規定に従い、セキュリティ評価を行う必要がある。

　例えば、中国で収集したデータを海外の本社システム上で管理している外資企業は少なくない。その場合、自社が「重要情報インフラ運営者」に該当するのか、「重要データ」を扱っているのか判断したうえで、適切なセキュリティ評価を実施し、越境移転を進めなければならない。米アップルでは、同法に対応するため、10億米ドルを投じて貴州省に中国初のデータセンター（DC）を開設。中国で展開するクラウドサービスの基盤を海外から国内に移した。

　しかし、同法への適応にあたって、すべての企業に等しい正解はない。条項には曖昧な表現が含まれ、広義な解釈ができるうえに、企業によって業種業態やガバナンス体制が異なるため、一概に「ここまでやれば正解」とはいえないのが実情。また、「重要情報インフラ運営者」や「重要データ」の定義、セキュリティ審査の具体的な方法などは草案段階で、中国政府は未定事項について施行後1年以内に詳細をまとめる方針を示している。日系大手企業の情報システム部長は、「どこまでの対策をしたらよいのか判断しにくい」と漏らす。

　対策支援ビジネスの需要が高まっているのはそのためだ。自社単独での判断は難しいため、弁護士やITベンダーの意見を採り入れながらセキュリティ管理体制を整備しようとするユーザー企業の動きが活発化。クララオンラインの吉村真輝氏は、「施行当初は解釈についての問い合わせが多かったが、最近では具体的な対策法に関する相談が増えている」と話す。

　残された猶予期間も短いとみられる。政府関係部署がITベンダーに配布した非公表資料によれば、データの越境移転に関するセキュリティ評価の猶予期間は18年12月31日まで。つまり、残り1年を切っている。

　同法への賛否はともかくとして、ITベンダーにとっては新たな商機となる。対策支援のコンサルティングを起点に、セキュリティ関連の商材を提案する機会が増える。ユーザー企業が中国国内でデータ保存すると判断した場合は、サーバー構築やDCサービスの需要も見込める。調査会社IDC中国は、ソフトウェア、ハードウェア、サービスを含む中国セキュリティ関連支出が17年から21年にかけて年平均で23.4％成長すると予測。「『中国サイバーセキュリティ法」の正式な実施は、中国セキュリティ市場が新たな段階に突入する標」と指摘している。