【上海発】中国全国人民代表大会(全人代)の常務委員会は11月7日、「中華人民共和国網絡安全法(サイバーセキュリティ法)」を可決した。ネット犯罪、個人情報の保護といった国家安全を目的としたもので、これまで以上にインターネット統制が強化されることになる。

 施行は2017年6月1日。サイバーセキュリティ法では、インターネット企業に対して、ユーザーの身元確認を義務付けるとともに、秩序を乱したり、体制の転覆を試みたりする情報への検閲を要求している。

 さらに、第二十八条では、情報ネットワーク運営者に対して、国家安全のための犯罪捜査を行う際の技術的支援と協力を義務化。第三十七条では、基幹情報インフラ設備の運営者に対し、中国内で収集した個人情報・重要データの国内保存を義務付けた。海外に提供する場合は、国家網信部門が国務院の関連部門と制定した規定に基づき、セキュリティ評価を行う必要があると定めている。

 同法の適法範囲は、中国で活動する外資系企業も含まれ、対応が求められる。しかし、表現にはあいまいな部分が多くみられ、解釈によっては、中国政府が外資系企業の技術にアクセスする権限を付与する法令とも考えられることなどから、法案審議の段階で、世界各国の商工会や業界団体が強い懸念を示していた。

 今年8月4日には、同法の第二次草案のパブリックコメント募集を受けて、中国日本商会が電子情報技術産業協会(JEITA)、情報通信ネットワーク産業協会(CIAJ)、ビジネス機械・情報システム産業協会(JBMIA)と共同で意見書を提出。「外国企業の市場参入の障壁となる過度な規制」「中国独自の国家規格の適用はセキュリティ強化という目的に逆行する恐れがある」との認識を示した。

 しかし、11月7日に公開された全文も、明確に表現されない部分の多くが残されている。例えば、上述の第三十七条については、保存が必要なデータの具体的な範囲、保存期間が示されていないほか、セキュリティ評価の方法や内容も説明されていない。データの内容については、第二次草案の「公民の個人情報と重要な業務データ」から「個人情報と重要データ」へと、むしろあいまい化されている。

 サイバーセキュリティ法の可決を受けて、中国でデータセンターやクラウドサービスなどのネットワーク関連ビジネスを展開する日系IT企業の幹部層からは、「あいまいな記述が多く、現時点では(自社のビジネスに影響がでるのかを)判断しにくい。いずれにしろ、規制が厳しくなっているという意味では、懸念している」「お客様からの問い合わせもきており、どこまでの実行力がある法令なのか調査中だ」といった声があがっている。ただし、一様に強い懸念を示しているわけではなく、「個人的には、チャンスにもなりうると考えている。例えば、中国内でのデータ保管が義務化されることで、これまで日本のデータセンターにアクセスしていた企業からの新規案件が創出される可能性がある」との見方もある。

 現時点では、同法が日系IT企業にどれほどの影響を及ぼすのかは未知数であり、判断するための情報も不足している。そこで、中国政府の関連部局は11月11日、外資IT企業を対象に、同法についての説明会を北京で開催することに決めた。すでに、特定のIT関連団体に加盟する企業には案内が送られている。外資系企業が、自社のビジネスや顧客への影響具合を判断するのは、そのあとになりそうだ。

 いずれにせよ、今後の中国政府の関連動向については、注視し続ける必要がある。(上海支局 真鍋武)