中国当局は2022年7月21日、昨年7月2日から約1年にわたり実施したサイバーセキュリティ審査の末、中国配車アプリ最大手であるDiDi(滴滴出行)を80.26億人民元の過料に処することを発表した。同社の董事長兼CEOの程維氏、総裁の柳青氏の両名に対しても、それぞれ100万人民元の過料を科すとされている。
処罰の理由は、DiDiが「サイバーセキュリティ法」、「データ安全法」又は「個人情報保護法」に違反して、スマホ内のスクリーンショットや顔認証に関わる個人情報を違法に取得し、国の重要情報インフラ及びデータの安全に深刻なリスク、潜在的な危険をもたらす運営行為を行ったというものである。
中国当局は昨年7月、膨大な個人情報を収集し、かつ、米国市場でのIPOを目指し、又はそれを実現したインターネットプラットフォーム運営企業に対する調査を一気に強化した。例えば昨年7月の時点で、DiDiだけでなく、貨物運送コーディネートプラットフォーム「運満満」、貨物運送マッチングプラットフォーム「貨車幇」、就職サイト「BOSS直聘」などを運営するネットワークサービス企業各社も調査の対象とされており、今年6月23日には、学術論文データベース「知網」の運営会社に対するサイバーセキュリティ審査も開始され、それが常態化されつつあるという印象すら受ける。
この「サイバーセキュリティ審査」制度は、2017年6月1日施行の「サイバーセキュリティ法」により導入され、同日に施行された「ネットワーク製品及びサービス安全審査弁法」がその主な根拠法令となるが、その後2回の改正を経て、2022年2月15日にはその最新規定となる「サイバーセキュリティ審査弁法」(以下「審査弁法」という)が施行された。
一、 サイバーセキュリティ審査弁法の適用対象
審査弁法1条は、重要情報インフラのサプライチェーンの安全を確保し、ネットワーク及びデータの安全を保障し、国の安全を維持・保護するため、「国家安全法」、「サイバーセキュリティ法」、「データ安全法」及び「重要情報インフラ安全保護条例」に基づいて同弁法を制定すると定めている。この趣旨の下、次の事業者の活動を対象にサイバーセキュリティ審査が行われる。
(1) 重要情報インフラ運営者が行うネットワーク製品及びサービス[1]の仕入れ活動であって、国の安全に影響を及ぼし、又はその恐れがあるもの
(2) ネットワークプラットフォーム運営者が行うデータの取扱い活動であって、国の安全に影響を及ぼし、又はその恐れがあるもの
(3) 100万人以上のユーザーの個人情報を把握するネットワークプラットフォーム運営者が国外で行う上場
このうち(3)は、審査弁法の改正で新たに追加された内容であり、昨年のDiDiのように米国で上場するプラットフォーム企業を狙いとした規定とされる。その背景には、「外国企業説明責任法」に基づき上場企業に対して情報開示を求める米SECと、国家安全保障に関わる情報が流出しかねないとして情報開示を拒否している中国当局との対立があり、米国で上場した中国資本の企業がその板挟みの格好となっている。DiDiは、業務ライセンスの永久停止という最悪の事態を避けるべく、中国当局の調査に協力し、自らニューヨーク証券取引所(NYSE)での上場廃止を決定したように窺われる。
二、サイバーセキュリティ審査の管轄機関
審査弁法2条は、中央サイバーセキュリティ情報化委員会による指導の下、中国インターネット情報オフィスが中華人民共和国国家開発改革委員会、中華人民共和国工業及び情報化部、中華人民共和国公安部、中華人民共和国国家安全部、中華人民共和国財政部、中華人民共和国商務部、中国人民銀行、国家市場監督管理総局、国家ラジオテレビ放送局、中国証券監督管理委員会、国家秘密保持局及び国家暗号管理局と共同して、国家サイバーセキュリティ審査作業体制を確立すると定めている。また、中国インターネット情報オフィスに内設されているサイバーセキュリティ審査オフィスが、サイバーセキュリティ審査に関連する制度・規範を定め、サイバーセキュリティ審査作業を指揮するものとされている。
このことから、サイバーセキュリティ審査については、中央サイバーセキュリティ情報化委員会による指導の下、中国インターネット情報オフィスが具体的な審査作業を主導する役割を担い、他方、中国インターネット情報オフィスが政府各主管部・局との協力体制を構築すると理解しうる。
DiDiに対する2021年7月2日の最初の立入調査は、国家インターネット情報オフィス、公安部、国家安全部、自然資源部、交通運輸部、国家税務総局及び国家市場監督管理総局の計7部門共同で行われた。
三、 サイバーセキュリティ審査の内容
1. 審査において考慮されるリスクの要因
審査弁法10条は、サイバーセキュリティ審査において評価の対象となる国家安全保障リスク要因を次のように定めている。
(1)製品・サービスの使用によって引き起こされる重要情報インフラに対する違法な制御、干渉又は破壊のリスク。
(2)製品・サービスの供給の中断が重要情報インフラのビジネス継続性に与える悪影響。
(3)製品・サービスの供給源の安全性、開放性、透明性及び多様性、その供給網の信頼性並びに政治、外交、貿易その他の要因による供給中断のリスク。
(4)製品・サービスプロバイダーによる中国の法律、行政規則及び部門規則の遵守の有無。
(5)コアデータ、重要なデータ又は大量の個人情報に対して窃取、漏洩、破損、違法な使用又は違法な国外移転が行われるリスク。
(6)上場により重要情報インフラ、コアデータ、重要なデータ又は大量の個人情報が外国政府による影響力行使、制御、悪意使用などを受けるリスク及びネットワーク情報セキュリティのリスク。
(7)その他重要情報インフラのセキュリティ、ネットワークセキュリティ及びデータセキュリティを危殆化する可能性のある要因。
これらのうち、(1)~(4)は主に重要情報インフラ運営者のサプライチェーンの安全性に、(5)~(6)は主に情報漏洩又は重要インフラ、重要なデータ等に対する外国勢力の支配・制御に着目した要因となっている。
2. DiDiに対する審査で判明した違法行為とリスク要因
DiDiに対するサイバーセキュリティ審査で判明した違法行為は、主に個人情報関係と国家安全関係に分けられるが、個人情報関係については、さらに次の8つに分けられ、少なくとも前項(5)の大量の個人情報が違法に国外移転されるリスク、(6)の上場により大量の個人情報が外国政府の影響下に置かれるリスクなどが着目されたのではないかと推測される。
① ユーザーのスマホ内のアルバムにあるスクリーンショット情報1196.39万件の違法な収集
② ユーザーのクリップボード情報、アプリ一覧情報83.23億件の過度な収集
③ 乗客の顔認識情報1.07億件、年齢情報5350.92万件、職業情報1633.56万件、近親関係情報138.29万件、「自宅」及び「会社」からのタクシー利用に関する地図情報1.53億件の過度な収集
④ 乗客の運転代行サービス評価時、Appバックグラウンド処理時、スマホと桔視レコーダー(訳注:DiDiのドライブレコーダーアプリの名称)との連携時における正確な位置(経緯度)情報1.67億件の過度な収集
⑤ 運転手の学歴情報14.29万件の過度な収集、明文形式による運転手の身分証番号情報5780.26万件の保存
⑥ 乗客の移動目的に関する情報539.76億件、常駐する都市の情報15.38億件、地域外でのビジネスや旅行に関する情報3.04億件に対する明確な告知を経ない分析
⑦ ライドシェアサービス利用時に乗客に対するサービスと無関係な「電話帳情報収集権限」付与の頻繁な要求
⑧ ユーザー設備情報等19項目の個人情報の処理目的に関する説明義務の不履行
国の安全と関わるデータの処理について、「国の安全に重大な影響を及ぼすデータ処理活動や、監督管理当局からの明確な要求を拒否し、面従腹背というべき悪意による違法・規則違反の問題がネットワーク安全審査により判明していた。DiDiのこのような運営活動は、国の重要情報インフラの安全及びデータ安全に深刻な安全リスク、潜在的な危険をもたらすものである」とされている。なお、詳細な内容は、国の安全と関わるとして公開されていない。
3.日系企業が注目すべきリスク要因
中国関係の事業を展開する日系企業は、膨大なユーザーにネットワークサービスを提供する企業よりも、製造活動に注力し、あるいは中国企業に設備・部品・原材料を提供する企業のほうが圧倒的に多いと考えられる。それゆえ、どちらかといえば、前出1の(1)~(4)のリスクに注目すべきであろう。
審査弁法5条は、重要情報インフラ運営者は、調達文書、契約などを通じ、製品及びサービスプロバイダーをして、サイバーセキュリティ審査に協力させなければならないと定めている。これには、供給の利便性を利用してユーザーデータを不法に取得しないこと、ユーザー機器の違法な制御及び操作を行わないこと、正当な理由なく製品の供給又は必要な技術サポートを中断しないことなどが含まれる。そのため、重要情報インフラ運営者と取引を行う場合には、細かなサイバーセキュリティ審査への協力が求められる可能性があり、その要請に関しては、審査弁法その他関係法令により受け入れることが可能な内容か、それとも、それを超える内容か、慎重に判断することに留意すべきである。
四、サイバーセキュリティ審査の手続
1.サイバーセキュリティ審査の開始
サイバーセキュリティ審査は、事業者の審査申請により開始されるものと、サイバーセキュリティ審査部門において開始するものに分けられる。
審査弁法5条によると、重要情報インフラ運営者がネットワーク製品及びサービスを調達する場合には、あらかじめ当該製品及びサービスの導入使用後にもたらされうる国家安全面のリスクを検証しなければならず、国の安全に影響を及ぼし、又は及ぼす可能性があるときは、サイバーセキュリティ審査オフィスにサイバーセキュリティ審査を申請しなければならない。また、100万人を超えるユーザーの個人情報を把握するネットワークプラットフォーム運営者は、海外上場にあたりサイバーセキュリティ審査を申請することが義務付けられている。これは、事業者の申請により審査が開始されるケースである。
審査弁法16条は、サイバーセキュリティ審査作業体制を構成する関連部局が国の安全に影響を及ぼし、又は及ぼす可能性があると認めるネットワーク製品及びサービスの調達活動並びにデータ取扱い活動に対しては、サイバーセキュリティ審査オフィスが中央サイバーセキュリティ情報化委員会の許可を得てサイバーセキュリティ審査を行うことができると定めている。これは、規制当局が主導的に審査を開始するケースである。
2.サイバーセキュリティ審査における資料・情報提出
主に以下の資料の提出が求められる。
(1)申請書(事業者の申請により開始するケース)
(2)国の安全への影響又はその可能性の有無に関する分析報告書
(3)調達書類、契約書、締結予定の契約書、IPO等の申請書類
(4)その他
なお、国の安全への影響の有無に関する判断は、事業者の事業活動やサイバーセキュリティ状況(製品・サービスの内容、川上川下の状況、取り扱うデータの種類・機微性、取扱いの流れ、越境移転の状況、情報システム及びデータ管理体制、技術措置、違法行為又はインシデントの発生事例及び対応状況など)を踏まえた総合判断となるため、当局から詳しい情報の提供を求められ、かつ、綿密なチェックを受けることが予想される。
3.手続の所要期間
審査弁法9条、11条、12条、13条及び14条によると、手続のおおよその流れは次のとおりである。なお、審査期間中に資料の補足が求められた場合に当該資料の補足に要する期間は、次の各期間に含まれない。
(1)サイバーセキュリティ審査の実施に関する決定及び当事者への通知:10営業日
(2)サイバーセキュリティ審査オフィスによる予備審査、サイバーセキュリティ審査作業体制を構成する関連部局への予備審査意見の送付:30営業日(15営業日延長可)
(3)サイバーセキュリティ審査作業体制を構成する関連部局の回答:15営業日
(4)サイバーセキュリティ審査オフィスと関連部局の審査意見が一致する場合における当事者への審査結論の通知:期間不明
(5)サイバーセキュリティ審査オフィスと関連部局の審査意見が一致しない場合における特別審査(検討評価、意見形成、中央サイバーセキュリティ情報化委員会の許可取得等を含む):原則90営業日(延長可能)
以上を総じて、サイバーセキュリティ審査の期間は、特別審査を受けない場合は約55~70営業日、それを受ける場合は145~160営業日が最短になると思われ、資料の準備、補足などの期間も考慮すると、半年から1年以上となることも想定される。
五、違法行為が判明した場合の罰則
審査弁法に対する違反行為又はサイバーセキュリティ審査で判明した違法行為は、「サイバーセキュリティ法」、「データ安全法」、「個人情報保護法」などに基づき罰則が科される可能性があり、犯罪行為に関わる場合にはさらに刑事罰に処せられることも十分ありうる。
ここ数年、データの安全に関する行政罰はますます重罰化の傾向にある。例えば、サイバーセキュリティ法は、ネットワーク運営者が個人情報保護に関する種々の義務に違反した場合(ユーザー情報収集時の同意取得や個人情報の適法な取扱いに関する義務への違反)、違法所得の1~10倍又は100万元以下の過料に処すると定めているのに対し、個人情報保護法は、違法な個人情報の取扱いや個人情報保護義務に違反し、その情状が重大なときは、5000万元以下又は前年度売上高の5%以下の過料に処しうるものとしている。
今回のDiDiに対する行政処罰は、違法行為の性質、継続期間、それによる危害の程度、それと関わる個人情報の規模、違法な個人情報取扱いの状況などから情状が重大と認定され、80億人民元という巨額の過料に処され、この金額はDiDiの2021年度の総売上高の約4.6%を占める。DiDiに対するサイバーセキュリティ審査は、初めての適用例という事情も相俟って1年以上にわたり続けられていたが、ここにようやく終止符が打たれ、コンプライアンス体制を一新したDiDiが正常な営業を再開できるようになったことは不幸中の幸いといえよう。
六、サイバーセキュリティ審査の今後の動向と日系企業の注意点
近年、データの安全をめぐる当局の取締りやサイバーセキュリティ審査は、膨大なユーザーを抱えるネットワークサービス企業をその主な対象としており、日系企業がこのような企業と業務上関わることは稀だといえる。また、日系企業自体が重要情報インフラ運営者となる可能性も極めて低く、サイバーセキュリティ審査の対象となることもほとんど考えられない。
なお、インフラ、工業、流通、ヘルスケア等の分野で日系企業が重要情報インフラ運営者のサプライチェーンと関わることはあり、何らかの形でサイバーセキュリティ審査に巻き込まれる可能性は否定されず、それによりビジネス上特殊な制約を受け、あるいは取引先から違約責任を問われるなどの可能性が否定できない。特に、中国の大手企業、国有企業又は上場企業と取引(仕入れ、販売、M&A、技術・事業の提携、合弁事業その他を含む)を行う場合には、相手方が重要情報インフラ運営者であるか否か事前にチェックを行い、それに該当する場合には、同社との契約内容の慎重なレビュー、同社から開示される情報の厳重なチェック・管理などの面で注意する必要がある。
注釈
[1] なお、留意を要する点として、重要情報インフラ運営者が仕入れるネットワーク製品・サービスとは、あらゆる製品・サービスを意味するものではなく、コアネットワーク機器、重要な通信製品、高性能コンピューター及びサーバー、大容量ストレージデバイス、大規模なデータベース及びアプリケーションソフトウェア、ネットワークセキュリティ機器、クラウドコンピューティングサービスなど、重要情報インフラのセキュリティ、ネットワークセキュリティ及びデータセキュリティに対して著しい影響を及ぼすネットワーク製品・サービスをいう。
