お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
中国法最新事情:2016年サイバーセキュリティー法
中国における多国籍企業のビジネスの進め方を変える (17/02/24)
2016年11月7日、中国は物議をかもすサイバーセキュリティ法を可決した。2017年6月1日に発効するこの法律は、多国籍企業が中国でどう事業展開するかについて広く影響するものである。この法律は、特定の企業に国家によるセキュリティー検証を通過することや、中国本土に顧客及びビジネスに関する情報を保管すること、中国当局に技術的支援を提供すること等を求めるなど、様々な事柄を規定している。
広い射程
この法律は2つの階層のビジネスに対して義務を課している。通信事業者と重要情報インフラの運営者である。「通信事業者」は「通信」のオーナー又は提供者と定義されており、「通信」はコンピュータ又はその他情報を収集し、保存し、送信し、処理する端末で構成された全てのシステムのことを言う、とされている(第76条)。「通信」の広い定義(ほとんどのインターネットプラットフォームのみならず、接続された2つのコンピュータですら含まれるだろう)からすれば、ほぼ全てのビジネスがこの定義に含まれることになる。「重要情報インフラの運営者」は特に定義されていないが、第31条の規定からすれば、通信、金融、水利、エネルギー、交通をはじめ、その他の、機能不全に陥った場合には中国のセキュリティや経済、国民に危害を加える可能性のあるインフラを利用している全てのビジネスが含まれると解される。この法律は、この定義に含まれるビジネスについて、さらに厳しい義務を課している。
テクノロジー審査、検査、及び認証
この法律は、特定のネットワーク製品やサービスのセキュリティについて、いくつかの要求事項を課している。例えば、第23条は、「基幹ネットワーク機器及びネットワークセキュリティ専用製品」が中国の国家規格及び強制的な要求事項を満たしていることを要求している。また、それらの機器や製品が中国において使用される前に、当該機器や製品は安全検査を通過するか、資格を有する機構の安全認証に合格しなければならない(第23条)。この法律では、どのような機器や製品がこの要求の対象になるかについて、中国政府が目録を公表するものとされているほか(同条)、それらの機器や製品が、将来のどこかの時点で満たなさなくてはならなくなる国家規格及び要求事項についても、中国政府が公表するものとされている(第15条)。
これらの要求事項は、実質的に、会社が使用できるネットワーク機器及び製品のタイプを、事前に承認されたテクノロジーという限定されたグループに狭めることになる。基幹ネットワーク機器や製品を製造する会社は、彼らの製品が、未だ公表すらされていない中国の規格に適合していることを請け合うに当たって、困難を強いられるだろう。基幹ネットワーク機器や製品を使用する会社もまた、安全検査や認証によって使用の承認を受ける際に、同じような困難に遭遇することになる。法は認証手続きのタイムラインを明らかにしていないが、これによって製品が中国市場に出て行くのを遅らせるだけの期間が必要になることが想定される。同様に、法は、製品がどれだけ厳密に検査されることになるか明確にしていないことから、会社の知的財産や企業秘密に対する調査をも含む内容になることが想定される。
重要情報インフラの運営者には、さらに加重的な義務が課されている。これには、国家の安全に影響を及ぼす可能性がある製品やサービスを調達する前に、国家の安全審査を通過しなくてはならない義務等が含まれる(第35条)。法は、かかる安全審査がどのような内容のものであるか説明しておらず、どのような製品やサービスが国家の安全に影響を及ぼす可能性があるのかも明らかにしていない。結局、問題は、国家の安全検査がどの程度厳密に行われるのか、例えば、知的財産や企業秘密の開示まで求めるのかという点に帰着する。
中国本土におけるデータのローカライゼーション
重要情報インフラの運営者は、データのローカライゼーションルールの適用も受ける。これは、当該運営者の中国における運営に関連する個人情報(氏名、生年月日、住所、電話番号等)及びその他の重要データを、中国本土に設置されたサーバにおいて保存することを要求するものである(第37条)。この法律の初期の草案では「『中国国民の』個人情報」と規定されていたが、最終的には『中国国民の』という文言は削除されたことから、「個人情報」には自国民の情報だけでなく他国民の情報も含まれると解釈できよう。
運営者は、国外に提供することが事業上の理由から「明確に必要」であることを示したうえで、政府の「安全評価」を通過しないかぎり、これらの情報を国外に提供することはできない(第37条)。法は、「明確に必要」とは何か定義しておらず、「安全評価」を通過するのに何が必要となるかも明らかにしていない。注目すべきことに、初期の草案では運営者がこれらの情報を国外に「提供」した上で「保存」することも認めていたが、最終的に「保存」という部分は削除された。すなわち、おそらく法は、仮に必要性があり安全評価を通過した場合でも、運営者が海外においてこれらの情報を保存することを禁止しているものと考えられる。
国家間のデータの流出入に依拠している多国籍企業にとって、この要求事項は非常に問題だろう。最も狭く解釈したとしても、多国籍企業は、中国の顧客及び取引に関する全ての情報をその他の情報から分離して、中国国内で保存する必要があるだろう。結果的に、多国籍企業は、2つのグローバルデータシステム(一つは中国用、もう一つの中国以外の全世界用)を持つことが求められることになる。
中国政府との密接な協力
この法律はさらに、企業が中国政府と様々な状況で密接に協力することを求めている。意義深いことに、第28条は、国の安全保障や犯罪捜査のために必要な場合、ネットワークの運営者に「技術的な支援、協力」をすることを求めている。法は、どのような技術的な支援、協力が必要なのかという点について、これ以上の詳細を定めていない。
企業や権利団体は、この要求事項の真の目的が何なのか、疑問を抱いている。一部のコメンテーターは、中国政府が、テクノロジー企業に対して、当該企業の製品やソースコード等の、彼らのテクノロジーに関連する情報への「裏口」からのアクセスを求めるのではないかと懸念している。さらに懸念されるのは、特に第28条の規定がこの法律の他の規定とあわせて適用された場合に、ネットワーク運営者が運営者のオンライン上の活動に関連して紛争に巻き込まれてしまうのではないかという点である。他の規定の例としては以下のようなものが挙げられる。
・第12条は、国家の安全を脅かしたり、国の統一の破壊、政権の転覆や国の分裂、社会主義制度の打倒等を扇動するためのネットワークの利用を禁止している。
・第24条は、特定のネットワーク運営者(インターネット及び電話のプロバイダ、ドメイン名登録サービスを提供する者、出版やブログのプラットフォーム運営者及びインスタントメッセンジャーサービスを提供する者)に、サービスの提供前に、ユーザーの本名を取得することを求めている。
・第21条は、ネットワーク運営者に、ネットワークの運用状態及びサイバーセキュリティ事件を監視し、ログファイルを保存するよう求めると共に、当該ログファイルを少なくても6ヶ月間にわたって保存することを求めている。
・第47条及び48条は、ネットワーク運営者に、「ユーザーが公表した情報の管理を強化」し、ユーザーが「違法」な情報を伝送していることを知った場合、当該運営者は伝送を停止し公の場からこれを削除したうえで、「関連の記録を保存するとともに」、当局に報告する義務を課している。
・第58条は、政府が、「国家の安全及び社会公共の秩序を維持する」ために必要な場合、「ネットワーク通信に対し制限等の臨時措置を講じる」ことを認めている。
ユーザーのオンライン上の匿名性を低減させ、企業によるユーザーの監視・報告義務を拡大するこれらの条文は、企業と一般大衆との関係に大きな挑戦を投げかけることになるだろう。
考察
この法律の草案は何度も修正され、また相当な議論を経てきたものであるが、最終的な法律においても不透明な部分が多く残されている。法律の中で定義されている数少ない用語も曖昧さを残しており、最も重要な用語の一部は全く定義されていない。今後数ヶ月間の間に中国当局が追加のガイダンスを発表し、この法律の射程をより明確にしてくれることを望むところである。それまでの間、我々としては、企業に対し、この法律の適用を受けるかどうかの検討、特に「重要情報インフラの運営者」に該当するか否かを検討することを勧める。仮に企業がこの定義に該当する可能性がある場合には、法律に適合しているかどうかの内部での検証及び法律を遵守するために必要となる作業を進めることが求められる。
クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com