中国に進出した日系企業は、日本との法律の違いに頭を抱えることが多い。日本とは大きく異なる政治体制や文化の中で、どのような戦略で法への対応を行うべきなのだろうか。今回は、IT関連法について整理してみよう。
突然、インターネットの接続停止を迫られ・・・
とある会社の事例だ。ある日突然、役人が会社に押し寄せ「通信ログを全て出せ!ログが無い場合は会社のインターネットを全面的に切断するぞ!」と言った。会社のシステム担当者は戦々恐々というところだったが、幸いにもインターネット接続の通信ログは取得しており、ログのバックアップも取得していたためデータを渡して事なきを得た。
この事例は、「インターネット安全保護技術措置規定(公安部 第82号令)」という法令に関わるものだ。この中で以下のように定めている。
中国では、特に反政府的な内容を掲示板やSNSに書き込むと、何もなかったかのように削除されることがある。またインターネット上への書き込みに関連して、何らかの事件性がある場合、ログを調査して書き込んだ者を見つけて逮捕に至るケースもある。インターネット利用者もそのリスクを把握しており、自宅から書き込みをすると問題になる可能性があるため、あえて会社から書き込みをする人も見受けられる。そのような時にも事件を解決できるよう、企業に対して通信ログの取得を義務付けていると考えられる。
不明確な点もある中国の法令
パソコンやインターネットの利用増加に伴い、中国にもITに関わる様々な法令が増えてきた。日本の個人情報保護法のようなものが制定されていないなど未整備の部分は残るものの、今回紹介した「公安部 第82号令」など他国にはない独自の法令が存在する。
ただ、残念なことに法令の中には内容や基準が曖昧なものがある。例えば「商用暗号管理条例」は、暗号技術製品を中国国内で販売する時には当局に登録が必要であり、その製品の利用者も都度当局へ報告しなければならないという法令だ。実はこの「暗号技術製品」が何を指すのかという点が明確ではない。「暗号機能を中核としない製品は対象外」としているようだが、具体的にはどのような製品が対象外となるかが明確になっていない。
少なくともハードディスクの暗号化ソフトなどは利用時には登録が必要であり、認可されていない暗号化ツールを使っていたパソコンを空港で没収されたという事例も聞く。
組織として中国の法令にどう対応するか
現地企業の中には、法令に対応しようとするとコストがかかりすぎるため、対応を見送ろうと考える企業がある。違反時の対応コストや反則金を払うほうが安がりくらいに考えているのかもしれない。日系企業の中にも、法令への対応にコストがかかりすぎるために、製品の販売自体をやめてしまった会社もある。では、日系企業は法令にどう対応していくべきなのか。
組織としては、セキュリティ事故により発生する損失と、法令に対応していないことで発生する損失の、両方を見ていかなければならない。まず「通信ログの取得」はアカウンタビリティー(説明責任/責任追跡性)確保のために実施すべきである。事故が起きた際に、調査材料となるログが取得されていないと、組織として事故原因が判明せず、再発防止を実施できないからだ。
一方で、政府による抜き打ち検査が入った際には、法令違反がビジネスの継続を揺るがすような事態に発展する可能性も考えられる。その際のリスクを組織としてどうとらえるかがポイントとなる。「商用暗号管理条例」に照らし合わせると、売る側の立場で考えたとき、多少面倒でも、製品を利用する顧客のために可能な限りリスクを低減した方策を提示するべきだろう。
今考えるべきなのは、組織として何をリスクと考え、投資対効果はどの程度であるかを把握し、方針を決めることだ。その際、コンプライアンスの観点からは、中国国内はもちろん日本、そして世界に目を向けていかなければならない。中国で活動しながらも、日系企業として日本やその他の関連国に対して、企業としての姿勢を見せる必要も出てくる。
富田 一成(とみた・いっせい)
ラック ビジネス開発事業部 セキュリティ能力開発センター
CISSP、CISA
| このコラムでは、上海に拠点を置くラックのエンジニアが現地で体験したことを基に、中国のセキュリティ事情と、適切なセキュリティ対策について解説します。(編集部より) |
