【中国】現地で見た中国ICTセキュリティ最新事情 ネット利用を強制停止?!中国のIT関連法を再考[05/13]
1 :依頼708@なつあかねφ ★:
中国に進出した日系企業は、日本との法律の違いに頭を抱えることが多い。日本とは大きく異
なる政治体制や文化の中で、どのような戦略で法への対応を行うべきなのだろうか。今回は、
IT関連法について整理してみよう。
■突然、インターネットの接続停止を迫られ・・・
とある会社の事例だ。ある日突然、役人が会社に押し寄せ「通信ログを全て出せ!ログが無い
場合は会社のインターネットを全面的に切断するぞ!」と言った。会社のシステム担当者は戦々
恐々というところだったが、幸いにもインターネット接続の通信ログは取得しており、ログの
バックアップも取得していたためデータを渡して事なきを得た。
この事例は、「インターネット安全保護技術措置規定(公安部 第82号令)」という法令に関
わるものだ。この中で以下のように定めている。
中国では、特に反政府的な内容を掲示板やSNSに書き込むと、何もなかったかのように削除さ
れることがある。またインターネット上への書き込みに関連して、何らかの事件性がある場合、
ログを調査して書き込んだ者を見つけて逮捕に至るケースもある。インターネット利用者もその
リスクを把握しており、自宅から書き込みをすると問題になる可能性があるため、あえて会社
から書き込みをする人も見受けられる。そのような時にも事件を解決できるよう、企業に対して
通信ログの取得を義務付けていると考えられる。
■不明確な点もある中国の法令
パソコンやインターネットの利用増加に伴い、中国にもITに関わる様々な法令が増えてきた。
日本の個人情報保護法のようなものが制定されていないなど未整備の部分は残るものの、今回
紹介した「公安部 第82号令」など他国にはない独自の法令が存在する。
ただ、残念なことに法令の中には内容や基準が曖昧なものがある。例えば「商用暗号管理条例」
は、暗号技術製品を中国国内で販売する時には当局に登録が必要であり、その製品の利用者も
都度当局へ報告しなければならないという法令だ。実はこの「暗号技術製品」が何を指すのか
という点が明確ではない。「暗号機能を中核としない製品は対象外」としているようだが、具
体的にはどのような製品が対象外となるかが明確になっていない。
少なくともハードディスクの暗号化ソフトなどは利用時には登録が必要であり、認可されてい
ない暗号化ツールを使っていたパソコンを空港で没収されたという事例も聞く。
>>2へ続きます
日経ITPro 2011/05/12
http://itpro.nikkeibp.co.jp/article/COLUMN/20110511/360200/?ST=security&r4
なる政治体制や文化の中で、どのような戦略で法への対応を行うべきなのだろうか。今回は、
IT関連法について整理してみよう。
■突然、インターネットの接続停止を迫られ・・・
とある会社の事例だ。ある日突然、役人が会社に押し寄せ「通信ログを全て出せ!ログが無い
場合は会社のインターネットを全面的に切断するぞ!」と言った。会社のシステム担当者は戦々
恐々というところだったが、幸いにもインターネット接続の通信ログは取得しており、ログの
バックアップも取得していたためデータを渡して事なきを得た。
この事例は、「インターネット安全保護技術措置規定(公安部 第82号令)」という法令に関
わるものだ。この中で以下のように定めている。
中国では、特に反政府的な内容を掲示板やSNSに書き込むと、何もなかったかのように削除さ
れることがある。またインターネット上への書き込みに関連して、何らかの事件性がある場合、
ログを調査して書き込んだ者を見つけて逮捕に至るケースもある。インターネット利用者もその
リスクを把握しており、自宅から書き込みをすると問題になる可能性があるため、あえて会社
から書き込みをする人も見受けられる。そのような時にも事件を解決できるよう、企業に対して
通信ログの取得を義務付けていると考えられる。
■不明確な点もある中国の法令
パソコンやインターネットの利用増加に伴い、中国にもITに関わる様々な法令が増えてきた。
日本の個人情報保護法のようなものが制定されていないなど未整備の部分は残るものの、今回
紹介した「公安部 第82号令」など他国にはない独自の法令が存在する。
ただ、残念なことに法令の中には内容や基準が曖昧なものがある。例えば「商用暗号管理条例」
は、暗号技術製品を中国国内で販売する時には当局に登録が必要であり、その製品の利用者も
都度当局へ報告しなければならないという法令だ。実はこの「暗号技術製品」が何を指すのか
という点が明確ではない。「暗号機能を中核としない製品は対象外」としているようだが、具
体的にはどのような製品が対象外となるかが明確になっていない。
少なくともハードディスクの暗号化ソフトなどは利用時には登録が必要であり、認可されてい
ない暗号化ツールを使っていたパソコンを空港で没収されたという事例も聞く。
>>2へ続きます
日経ITPro 2011/05/12
http://itpro.nikkeibp.co.jp/article/COLUMN/20110511/360200/?ST=security&r4
|
|
|
2 :なつあかねφ ★:2011/05/13(金) 18:46:17.51 ID:???
■組織として中国の法令にどう対応するか
現地企業の中には、法令に対応しようとするとコストがかかりすぎるため、対応を見送ろうと
考える企業がある。違反時の対応コストや反則金を払うほうが安がりくらいに考えているのか
もしれない。日系企業の中にも、法令への対応にコストがかかりすぎるために、製品の販売自体
をやめてしまった会社もある。では、日系企業は法令にどう対応していくべきなのか。
組織としては、セキュリティ事故により発生する損失と、法令に対応していないことで発生する
損失の、両方を見ていかなければならない。まず「通信ログの取得」はアカウンタビリティー
(説明責任/責任追跡性)確保のために実施すべきである。事故が起きた際に、調査材料となる
ログが取得されていないと、組織として事故原因が判明せず、再発防止を実施できないからだ。
一方で、政府による抜き打ち検査が入った際には、法令違反がビジネスの継続を揺るがすような
事態に発展する可能性も考えられる。その際のリスクを組織としてどうとらえるかがポイント
となる。「商用暗号管理条例」に照らし合わせると、売る側の立場で考えたとき、多少面倒で
も、製品を利用する顧客のために可能な限りリスクを低減した方策を提示するべきだろう。
今考えるべきなのは、組織として何をリスクと考え、投資対効果はどの程度であるかを把握し、
方針を決めることだ。その際、コンプライアンスの観点からは、中国国内はもちろん日本、そ
して世界に目を向けていかなければならない。中国で活動しながらも、日系企業として日本や
その他の関連国に対して、企業としての姿勢を見せる必要も出てくる。
--------------------------------------------------------------------------------
富田 一成(とみた・いっせい)
ラック ビジネス開発事業部 セキュリティ能力開発センター
CISSP、CISA
このコラムでは、上海に拠点を置くラックのエンジニアが現地で体験したことを基に、中国の
セキュリティ事情と、適切なセキュリティ対策について解説します。(編集部より)
現地企業の中には、法令に対応しようとするとコストがかかりすぎるため、対応を見送ろうと
考える企業がある。違反時の対応コストや反則金を払うほうが安がりくらいに考えているのか
もしれない。日系企業の中にも、法令への対応にコストがかかりすぎるために、製品の販売自体
をやめてしまった会社もある。では、日系企業は法令にどう対応していくべきなのか。
組織としては、セキュリティ事故により発生する損失と、法令に対応していないことで発生する
損失の、両方を見ていかなければならない。まず「通信ログの取得」はアカウンタビリティー
(説明責任/責任追跡性)確保のために実施すべきである。事故が起きた際に、調査材料となる
ログが取得されていないと、組織として事故原因が判明せず、再発防止を実施できないからだ。
一方で、政府による抜き打ち検査が入った際には、法令違反がビジネスの継続を揺るがすような
事態に発展する可能性も考えられる。その際のリスクを組織としてどうとらえるかがポイント
となる。「商用暗号管理条例」に照らし合わせると、売る側の立場で考えたとき、多少面倒で
も、製品を利用する顧客のために可能な限りリスクを低減した方策を提示するべきだろう。
今考えるべきなのは、組織として何をリスクと考え、投資対効果はどの程度であるかを把握し、
方針を決めることだ。その際、コンプライアンスの観点からは、中国国内はもちろん日本、そ
して世界に目を向けていかなければならない。中国で活動しながらも、日系企業として日本や
その他の関連国に対して、企業としての姿勢を見せる必要も出てくる。
--------------------------------------------------------------------------------
富田 一成(とみた・いっせい)
ラック ビジネス開発事業部 セキュリティ能力開発センター
CISSP、CISA
このコラムでは、上海に拠点を置くラックのエンジニアが現地で体験したことを基に、中国の
セキュリティ事情と、適切なセキュリティ対策について解説します。(編集部より)
3 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2011/05/13(金) 18:49:17.84 ID:9/duM4bz
どうでもいいよ
4 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2011/05/13(金) 19:01:39.05 ID:CC8xEqSL
ネットを止めると経済成長もひどいことになりそうだ
一回試しにやって欲しい
一回試しにやって欲しい
5 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2011/05/13(金) 19:24:26.31 ID:xTYYfuxZ
もう中国はインターネット禁止でいいじゃんwww
6 : 忍法帖【Lv=40,xxxPT】 :2011/05/13(金) 19:32:50.97 ID:a7+TLFr5
うちの会社にも、労基署の人が昔メールとか、ログインのログを取りに来たな。
おかげで、サービス残業はなくなったし、過去のサービス分も会社が全額払ってくれた
おかげで、サービス残業はなくなったし、過去のサービス分も会社が全額払ってくれた
>中国に進出した日系企業は、日本との法律の違いに頭を抱えることが多い。
行く前に調査しとけよ…
行く前に調査しとけよ…