実はグローバル的なサイバーセキュリティ法
サイバーセキュリティ法に関しては、さまざまなレベルでの法律や条例が関係しているわけだが、これらの法体系はGDPRなど諸外国の方法論を積極的に取り入れており、グローバル的な発想で構築されているという。また、コンプライアンス遵守については、前述したようにIT技術面の要素が非常に強く、純粋に技術的に解決されるものなので、人治主義的な印象が強い中国においてはむしろ公平感が高いともいえる。
-
例えば「重要データ」の定義など、いくつか曖昧な点はあるものの、基本的に何をどう記録するかについては細かく規定されている。純粋に、技術的に実装できる点は非常に明快だ
法律が適用される対象は、(1)重要情報インフラ運営者(サービスの提供者)、(2)ネットワーク運営者(自前でサービスを運営・利用する者)、(3)ネットワーク製品またはサービス提供者(通信設備製造)の3つに分類される。
-
日本から進出した企業やユーザーは(2)に含まれることになる
基本的にすべての組織と個人が対象になるため、当然ながら中国に進出した日本企業も対象になる。注意したいのは企業だけでなく、企業のIT担当者個人も罰則の対象となる点だ。つまりある企業で問題が発覚した場合、そのIT担当者個人が逮捕されたり、多額の罰金を課せられることになる。
事実、中国国内ではそのような事例もすでにあるようだ。また、違反が発覚した場合、法律の発行日(2017年6月1日)にさかのぼった期間が「違法期間」と認定され、その間に得られた収益が罰則の対象となる可能性もあるという。
日本企業の現状
サイバーセキュリティ法の施行以来、すでに多くの企業が取り締まりを受けており、中にはテンセント、アリババといった大企業も含まれている。習近平国家首席の肝煎りだけに、中国政府の本気度が伺えるのだ。ただし、現時点ではすべて中国国内の企業に対して向けられたもので、日本を含む海外企業についてはまだ取り締まりは行われていない。とはいえ、いつ取り締まりが始まっても不思議ではない状況だ。
-
省・地域別の取り締まり件数。製造業の多い省で特に取り締まりが多い。中国へ進出している日本企業は約6,000社で、そのうち約2,200社が上海市に集中しているという
ところが、日本企業の対応は非常に緩慢。IIJによる調査でも、中国で事業展開している日本企業の約85%が、取り締まりが始まったら対応を考える、そもそも対応を考えていないなど、危機感が非常に希薄なのだという。
中国に進出中の日本企業、約6,000社のうち5,000社近くが何も準備していない計算だ。中国の法律がよくわからないことを理由にコンプライアンス遵守を先送りにしているところもあるようだが、このまま行けばかなりの数の企業が取り締まり対象となるだろう。
-
日本企業の対応が非常に後手後手に回っている、というのが率直な感想。ここ数年のサイバー空間における国際的な覇権争いを考えれば、中国当局の本気度が伺えるのだが……
問題は、法律だけでなく技術面もカバーしなければならないため、単に弁護士などに相談すればいい、というわけにはいかないことだ。IIJのように技術的ノウハウがあり、現地の法律事務所などと提携している企業に分析と対応を依頼するのが一番の近道といえる。少なくとも素人が対応できるレベルの話ではなくなっているため、一刻も早い対応が望まれる。
中国における独自の商習慣や政府による規制などを総称して「チャイナリスク」と呼ぶことがあるが、サイバーセキュリティ法もまたひとつのチャイナリスクといえるだろう。ただし、きちんと準備することでこうしたリスクは最小限に抑えることができる。取り締まりは「起きるかもしれない」ではなく「必ず起きるもの」としてとらえ、準備する必要があるだろう。
