日本企業の認知度低く

 6月1日、中国で「中華人民共和国網絡安全法(中国サイバーセキュリティ法)」が施行された。ネット犯罪の防止や個人情報の保護などを目的としたもので、従来以上にインターネット統制が強化される。外資企業もその対象となるが、日本企業に関しては十分な認知が進んでいないようだ。(上海支局 真鍋 武)

 中国サイバーセキュリティ法では、「国家サイバー空間主権と国家安全」などを守るため、情報ネットワーク運営者に対して、ユーザーの身元確認を義務づけるとともに、秩序を乱したり、体制の転覆を試みたりする情報への検閲を要求している。さらに、国家安全のための犯罪捜査を行う際の技術的支援と協力を義務化。重要な情報インフラ運営者に対しては、中国内で収集した個人情報・重要データの国内保存を義務づけた。海外に提供する場合は、国家網信部門が国務院の関連部門と制定した規定に従い、セキュリティ審査を行う必要があると定めている。

 同法の適法範囲は、中国で活動する外資系企業も含まれ、対応が求められる。しかし、内容表現に曖昧な部分が多くみられ、解釈によっては、中国政府が外資系企業の技術にアクセスする権限を付与する可能性も考えられることなどから、法案審議の段階で、日本を含めた世界各国の商工会や業界団体が強い懸念を示していた。法案可決後、これら未定事項の詳細については、国家インターネット情報弁公庁(CAC)など関連機関に委ねられた。

 5月31日、国家インターネット情報弁公室は、同法施行に先立ち、政府系メディアとの記者問答の記録を発表。「国外企業の技術、製品の中国進出を制限するものではない」として、外資規制の狙いがないことを改めて強調した。また、「重要な情報インフラ運営者」の定義や、「個人情報・重要データ出境安全評価弁法(征求意見稿)」として、パブリックコメントを募集した個人情報・重要データの国内保存、セキュリティ審査などの未定事項については、施行後1年以内に詳細をまとめていくとしている。

 中国で活動する外資系企業の事業活動に影響を及ぼす可能性があるが、「中国サイバーセキュリティ法」の施行を前にして、日本企業の認知度が極めて低い実態も明らかになった。デロイト トーマツ リスクサービス(丸山満彦社長)が、日本企業の対応状況を緊急調査した。

 調査は4月21~28日に実施し、106社から回答を得た。このうちの80.2%は中国で事業を行い、76.4%は事業所や支社を構えている。

 「中国サイバーセキュリティ法」について質問したところ、「名前も内容も知っている」は9.4%にとどまり、「名前は聞いたことがあるが、内容は知らない」が43.4%、「名前も内容も知らない」が47.2%だった。「内容を知らない」の合計は90.6%に達する。

 また、中国で事業を行い、同法を知っている回答者への質問では、「対応を実施済み」の企業は1社のみだった。「対策を実施すべく検討中」も1社だけ。「実施するかしないか判断するため情報収集中」が51.6%だった。一方、「とくに対策を行う予定はない」の回答は1割程度。情報収集や検討中の企業が多数を占め、対策を実行している企業はわずかであることが浮き彫りになった。

 対策を予定していない企業は、どこまで厳格に運用されるかわからないと判断したり、影響が小さいと考えたりしている企業が多い。デロイト トーマツ リスクサービスでは、「全体的に日本企業からは様子見の姿勢が表われており、これは具体的な情報が不足しているため」と推察してい
る。

 実際にどの程度厳格に運用されるのかは未知数だが、同法を違反した場合、関連事業の停止や認可の取り消し、罰金などを科されることになる。関連動向を注視し、正確に内容を把握しておくことが望ましい。