【上海発】ITの暗号技術は、今や企業、国家の安全を左右しかねないものになっている。中国では、1999年10月7日、「商用暗号管理条例」(以下、「条例」という)が中国国務院から公布された。

 商用暗号とは、国家機密にかかわらない情報に対して暗号化または認証するのに使用される暗号化技術あるいは暗号化製品を指すと「条例」で定義されている。

 商用暗号技術を国家機密として、あらゆる暗号化製品の研究、生産、販売および使用を国が管理・統制できるようになっており、国家暗号管理委員会(現、国家暗号管理局)およびその事務局が、商用暗号の所管行政機関に指定されている。

 商用暗号技術と製品の研究開発、生産、販売を行うには、国家暗号管理機関から事前に許可を得なければならない。また、国家暗号管理機関が認可する暗号以外の一切の暗号(独自開発のものや輸入されたものを含む)の使用は禁じられている。海外の組織または個人が中国国内で暗号製品または暗号化技術を含んだ設備を使う場合、事前に国家暗号管理機関への申請が必要とされている。

 商用暗号に関する法令・規定は、かなり厳しい内容だ。ハードウェアにしろ、ソフトウェアにしろ、暗号化技術が入っていない情報製品は実際にはほとんどない。

 例えば、マイクロソフトのWindows、IBMのLotus Notesなどに内蔵された暗号化エンジンを、すべて中国認可のものに入れ替えなければならないとすれば、現実的には不可能としか思えない。ルーター、ファイアウォールの場合は、作業はさらに大変だろう。

 こういった現実的な問題に対して、商用暗号管理機関はどう考えているのかは分からない。日本語の中国情報サイトによると、中国政府は00年には、「条例」の適用対象から「米マイクロソフトのWindows等のインターネット・ブラウザおよび携帯電話に組み込まれたソフトに含まれる一般的な暗号は、規制対象から除外する」と米商業会議所などに伝えたというが、同じような情報を掲載した中国語のページはどこにも見当たらない。

 「条例」制定の背景は、本当に中国の情報セキュリティを守るためだったのか、それとも米国の電子暗号化技術の中国輸出禁止政策に抵抗するためだったのか。法令の厳粛性を考えれば、運用を徹底できないとすればむしろ制定しないほうがいい。一方で、運用規則がそろったら、ある日突然に徹底される可能性もある。引き続き、注目していきたい。
 魏鋒(ウェイ・フェン=ACCS上海事務所所長、shanghai@accsjp.or.jp)