われわれは「データの管理」をどうデザインしていくべきなのか？

　データが価値を生む時代になり、いよいよデータの取り扱いが喫緊の課題となってきている。日本でもこの4月に令和2年改正個人情報保護法が施行されたが、中国では昨年データ関連法が施行され、実行力を持った取り組みが進んでいる。『ITビジネスの現場で役立つ 中国サイバーセキュリティ法&個人情報保護法 実践対策ガイド』（翔泳社刊）を上梓した寺川貴也氏に、DX時代のデータとの向き合い方を聞いた。

各国がデータ規制に乗り出す理由

――まずは中国の状況ということで、データ関連法の概要について教えてください。

寺川貴也（以下、寺川）　中国のデータ関連法は、国家戦略として整備されてきています。中国では2010年ごろからデータセキュリティの重要性が議論され始めました。2014年4月に中国国家安全委員会の第一回全体会議で示された「国家安全保障の全体構想」という国家方針では「情報の安全保障」が掲げられ、これを受けて2015年に国家安全法が制定されています。国家安全法ではパブリックネットワークと情報のセキュリティ対策に取り組むことが明示され、2016年に「中华人民共和国网络安全法」（中国ネットワークセキュリティ法）、一般に中国サイバーセキュリティ法と呼ばれる法律が成立しました。2017年にはデジタルチャイナの構築に向けて法整備を推進することが習近平国家主席によって示され、2020年には中国暗号法が、2021年にはデータセキュリティ法と中国個人情報保護法が成立しています。

　これは中国に限らず世界各国に共通することですが、法律が成立した後、より具体的なガイダンスを示す施行規則、条例、ガイダンス等が整備されます。中国でも今、積極的にガイダンスや条例の意見募集項が公布され、実際の運用について明確化が進められています。つい先日も「GB/T 41479《信息安全技术 网络数据处理安全要求》」^※1 に基づいてデータセキュリティ認証が実施されることが示さました。これが中国におけるトラストマーク制度としてコンプライアンス上の重要なツールになるのではないかといわれています。

　中国のデータ関連法が規制しているのは「セキュリティ対策」「個人情報処理」「データ越境移転」の3つの領域です。大きなイメージをつかむためには、主要な法律がどの領域を網羅しているかを理解しておくとよいでしょう。サイバーセキュリティ法は「セキュリティ対策」「個人情報処理」「データ越境移転」の3つの領域を網羅する法律です。暗号法は「セキュリティ対策」「個人情報処理」を、データセキュリティ法は「セキュリティ対策」と「データ越境移転」を、個人情報保護法は「個人情報処理」と「データ越境移転」を網羅しているとイメージを持っておくと分かりやすいかもしれません。

　重要インフラ事業者や大量の個人情報処理を行う事業者についてはデータの国内保存義務も課されています。該当する場合は対策が必要となりますので、日本でも越境ECを営む企業では積極的な対応が進められています。この他、上海市、天津市、深圳市などでローカル法もありますが、日系企業であれば、まずは国レベルでの法規制を押さえておくとよいと思います。
^※1GBは日本のJIS規格に相当する中国の国家標準規格。大きく「強制標準」「推奨標準」に分かれており、GB/Tは推奨標準。

――実際、日本の企業でビジネスに支障が出たという具体的な事例はありますか？

寺川　本でも紹介しましたが、サイバーセキュリティ法については等級保護認定の取得を怠った企業が改善命令を受けた例が何件かあります。個人情報に関連するものでは、アプリの配信停止命令を受けたケースや越境ECでネットワーク通信を遮断されたというケースがあります。越境ECのケースではビジネスが完全にストップしてしまったため、ビジネスそのものが揺らぎかねない影響がありました。

　中国の当局は非常に行動力があります。必要と判断した制裁措置はためらいなく実施しますので、中国ではコンプライアンス対応を通じたビジネスリスクの緩和は必須ではないかと感じます。

――中国がネットワークセキュリティに関して国として関与するようになったきっかけには何があったのでしょうか？

寺川　やはり、デジタルエコノミーでの成功が将来の国力を左右する時代となっているということが一番大きいかと思います。データ経済で優位に立つことは、ひいては将来的な国力の強化につながるため、中国はデジタルエコノミーを支える仕組みづくりに力を入れてきました。

　本の中でも紹介しましたが、世界のデジタル経済規模は2019年に31.8兆ドルに上ったという報告があります。^※2　国連貿易開発会議が出した「デジタル経済レポート2021」では世界の年間帯域幅は2020年に35％増加し、この傾向は今後も続くとしています。経済のデジタル化は加速する一方です。

　データはパブリックネットワークを介して流通します。健全なデジタルエコノミーを整備するためには、安全なネットワークインフラの普及が不可欠です。これは、車が普及するために舗装された道路の普及が不可欠なのとよく似ています。国家がネットワークセキュリティに関与するというのは必然の動きと言えます。

　中国は共産主義国家であるため、国内情報の統制を行いたいという思惑も当然あります。データという自由に移動しやすいリソースを国として統制するためには高度な管理システムが必要となります。サイバーセキュリティ法の等級保護制度やゴールデンゲート（金盾）^※3といった施策は、中国国内独自の事情を色濃く反映しているといってもよいかもしれません。

^※22021年3月に工信安全発展研究中心とHUAWEIが合同で出した「数据安全白皮书」（データ・セキュリティ・ホワイトペーパー）より。
^※3中国の包括的な情報管理システム、いわゆる「グレートファイアウォール」。台湾と香港とマカオを除く、中国大陸が対象となる。

――中国のサイバーセキュリティ法は中国国内で収集したデータの国内保存を規定していますが、データの時代ということで、これも各国が目指しているところでもあるのですか？

寺川　正確に言うと、重要インフラ事業者に対してデータの国内保存義務を課しています。重要データについての国内保存は中国に限った話ではなく、日本も発電システムや新幹線の運行情報といったインフラに関する重要な電子データについて、国内のサーバーで保存するよう各社に要請するという報道が2019年にありました。また、2021年にはLINEが日本国内にあるサーバーへの中国からのアクセスを完全遮断するという判断を行ったという報道や、KDDIが日本国内の携帯契約者情報を香港のサーバーから日本国内のサーバーに移転することを検討するという報道もあります。

　日本は2019年に開催された大阪サミットで「Data Free Flow with Trust」を掲げましたが、どの国でもデータの国内保存に向けた動きが活発化しているというのが現在の状況です。データを国内保存するというのは、非常事態が生じた際に外国にネットワークを遮断されたとしても国内であればアクセス可能だということが最も大きな理由だと考えられます。これを国の「デジタル主権」の確保と考え、データの国内保存を推進するという考え方が進められている側面があります。

　ただ、先ほど紹介した国連貿易開発会議のレポートでは、「データの地理的保存とデジタル経済開発との関連性は明らかではない」と指摘されています。データには商品（財）やサービスとは異なる特殊な性質があります。多くの人が同じデータを同時に利用でき、自由に複製でき、また石油のように枯渇することもありません。その一方でアクセスを技術的、法的に制御することで囲い込むこともできます。このようなデータの取り扱いについては、まだ世界的にコンセンサスが形成されていない状況です。現在はデータの国内保存に向けた動きが活性化していますが、将来的には異なるアプローチも生まれてくるかもしれません。

――本を書かれた理由としては、現場で困っている方が多いからですか？

寺川　私はプライバシー対応を専門とするコンサルティングサービスを手掛けていますが、それはありますね。ただ、それだけではなく、情報の更新が必要だと思ったことも理由の1つです。中国の法律は「意見募集項」をどんどん出して、反応を見ながら調整するというアプローチがとられます。そのため、2017年に出た情報だけを見ていると、情報が古くなってしまうことがしばしばあります。その一方で、日本にいると中国の情報がなかなか入ってこない上に、中国の法規制について整理した本もあまりないという状況だったので、現時点での情報を整理することができる本が一冊必要ではないかと思っていました。私がアリババクラウドと一緒にお仕事をさせていただく機会があったこともあり、比較的中国のリアルタイムの変化に触れることができたので、その情報を共有したいと思ったのです。　

　今回、本はQ&A形式にしてもらいました。普段、仕事をする中で、確認したい疑問点を探して回答にたどり着けるものがよいと思っていたからです。その他、法律の日本語訳、等級保護の要件のリスト、コンプライアンスチェックの質問票を付けたのも、できるだけ「使える」本にしたいと思ったからです。