Webセキュリティの小部屋

2015年12月27日、中国の全国人民代表大会常務委員会で反テロ法案が成立しました。

速報の段階ですが、少しその影響についてセキュリティ面から考えてみましょう。

この法案は、欧米企業が懸念していた法案で、以下のような内容になっています。

中国の全国人民代表大会（全人代、国会に相当）常務委員会は２７日、暗号鍵などの敏感な情報を政府に渡すことをテクノロジー企業に義務付けるといった内容から欧米が懸念していた反テロリズム法を可決し、成立させた。

中国で反テロ法が成立、ネット企業に暗号提供義務付け | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト

 

これは、反テロ対策の名目の元では、IT企業が扱うデータをおそらく全て監視できることを意味します。

例えば、SSL/TLS で暗号化された通信の内容を盗聴したり、暗号化されたファイルを複合することもできてしまうでしょう。ターゲットにされたら、個人も企業もプライバシーや機密情報というものの扱いが困難になるかもしれません。

他にも、現時点で法案のテクノロジー企業の範囲が明確でないので、オフショア開発を行っている企業も対象になっているのかもしれません。そうなると、ソースコードと顧客の機密情報の両方を守ることができなくなってしまいます。

中国で通信の秘密を期待するのがどうなのかはさておき、その対策のための暗号化である重要な暗号鍵を中国政府に提供することを義務付けるというのは無理筋ですが、その法案が成立してしまいました。

また、この法案は最初、以下の規程もあったそうです。大変厳しい規程ですが、削除されてよかったです。

当初の法案には、業者が暗号解読の技術提供などを拒否した場合、中国国内での活動を認めないとする条項が含まれていたが、削除された。

中国で「反テロ法」成立…ネット規制強化必至か : 国際 : 読売新聞（YOMIURI ONLINE）

 

しかし、中国は、まだ以下のような要求を行っているので、今回の法案では大丈夫でも、今後はどのように変わっていくか予断を許しません。

• 中国政府がATM技術の公開を要求 - エキサイトニュース
• 米ハイテク企業、中国のソースコード開示要求に対抗 - WSJ

 

但し、中国以外の国も無策ではありません。TPP に以下のような規程を盛り込んだ模様です。

• ＴＰＰでＩＴ機密の開示要求禁止…中国をけん制 : 読売プレミアム

 

中国は、この法案の2016年１月１日の施行後、早急に暗号鍵の要求をしてくるかもしれません。場合によっては、しばらく様子見をするかもしれませんが、中国にサービスを提供している企業は、撤退か法案に従うかの厳しい選択をせまられます。

法案に従った場合は、中国内のビジネスはよくても、中国外でのビジネスに大きな影響がでるでしょうね。

余談ですが、通信の秘密については対テロ対策で犠牲になっているのは中国だけではありません。この点については、世界が通信の秘密より対テロ対策を重視し始めている傾向があるのかもしれません。アメリカでも問題になりましたね。

• 英首相、暗号化通信を制限する意向を表明--フランスでのテロ事件を受け - CNET Japan

スポンサーリンク

カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー