orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

IT業界人なら必ず知っておくべき、中国「データセキュリティー法」の考え方

f:id:orangeitems:20210706222032j:plain

 

中国「データセキュリティー法」

IT業界に属しているならば絶対に知っておくべき情報が、中国の「データセキュリティー法」だ。DSLと略される場合があるが、Data Security Lawとのこと。

 

cloud.watch.impress.co.jp

データの扱いを規制する中国の「データセキュリティ法(DSL)」が成立した。初めての包括的なデータ法で、企業も個人も対象とする。データ取扱規制は世界的に強化の方向だが、その中でも中国の法はとりわけ厳しい内容だ。あらゆるデータを対象とし、国家安全保障の観点から国境を越えて取り締まることまで想定している。

 DSLはデータの処理と関係者の監督を定める法律だ。2020年7月に草案が発表され、3度の改訂を経て、6月10日の全国人民代表大会全人代)で成立した。今年9月に施行される。共産党系メディアの環球時報(英語版)は「個人のプライバシーだけでなく、デジタル経済の安全で健全な発展のために強力な法的サポートを提供するものである」と伝えている。

 

どんな企業でもシステムを持ち、そこにはデータがある。そのデータの所有者は自社であり、自社の社員であってもアクセス権が決められ自由にアクセスはできない。これが日本での普通の感覚だと思う。

一方、今後、中国国内でビジネスをする限りは違ってくる。私企業のデータであっても、政府が自由にアクセスできなくてはいけない。そして、中国で収集したデータは、物理的に中国に置かなければいけないし、持ち出してはいけない。

パブリッククラウドを利用すればわかると思うが、実際、データを国にまたがって移動したりコピーしたりすることは技術的に非常に簡単だ。Webブラウザから世界各国のデータセンターに自由にアクセスできることが、まさにクラウドを実感する瞬間でもあった。

しかし、中国においては事情が異なる。むしろそんなインフラを使ってしまうと、データセキュリティー法違反に問われ、企業活動停止どころか重罪に問われる可能性もある。また「データとは何か」についてはあいまいな表現なため、あらゆるデータが対象であると考えた方が良い。

確実にデータが中国に留まっていることを証明せねばならず、かつそれが国外に出ないことをシステム的に担保する設計としないといけない。それは意外と難しい。むしろオンプレミスのデータセンターにストレージサーバーを置き、アクセスルートをかなり絞る設計にしないと難しいと思う。

いや、クラウドでも実装できるという声もわかるが、外部に流出させたいときにも簡単に設定変更し対応できるので、外部監査を受けるときには結構覚悟を決めないといけないと想像する。それを考えると、物理的に対処したほうが良い。

 

 

アメリカ企業も変化に対応

アメリカ企業も、この変化に積極的に対応している。

 

www.asahi.com

 米アップルが中国貴州省で国有企業と建設を進めていたデータセンターが5月、正式に稼働した。中国政府が国内のデータの海外への持ち出しを法律で禁じたことへの対応の一環。米政府は中国へのデータ流出に警戒を強めているが、中国はアップルにとって重要な市場であり、対応を迫られた形だ。

 

www.jiji.com

米電気自動車(EV)大手テスラは25日、EVから収集した情報を保存するデータセンターを中国内に設置したと発表した。世界最大のEV市場である中国の当局と利用者の反発に対応したもの。(写真は中国の上海モーターショーで展示されるテスラのモデル3)

 

論理的に出さないと言っても、そこに中国政府からのアクセスルートも足さなければいけないとなると、完全に厄介だ。それより、データセンターを中国に置き、足元から統制したほうがあらぬ疑いを避けられる。中国で今後もビジネスを行いたいアメリカ企業は先に先に手を打っている。

さて、こんな状況を、日本企業は今想像できているのだろうか。そもそも冒頭に書いたデータの所有感覚から言って全然違っているのではないか。自社のデータは、自社のものではないのである。

巨大IT企業への圧力と書かれる場合が多いが、これは単に巨大IT企業を一番先に適合させているだけであり、中小零細にもいずれ標準化された方法で、データを吸い上げにくると思って然るべきだと考える。それこそ、ブログの下書きレベルまで中国政府の監視が届くようになるという話である。

「中国はグレートファイアーウォールがある」「通信を監視している」だけではないのだ。そもそも最近の通信は極度に暗号化されており盗聴も簡単ではない。そもそものデータの源泉に政府が自由にアクセスでき収集できることを義務付けてしまったのだ。

 

 

データセキュリティー法施行の象徴となった「滴滴」

 具体的に影響を受けている企業が話題になっている。中国配車サービス大手のDidi Chuxing(滴滴出行)だ。

 

jidounten-lab.com

DiDiは2012年の設立以来、アプリを活用したタクシーやライドシェアの配車サービスで成長を遂げてきた。現在は、バイクシェアやカーシェア、フードデリバリーなどコンテンツの多角化を図りながら中国をはじめブラジル、チリ、コロンビア、メキシコの中南米各国、日本、オーストラリアの計1000都市以上でサービスを展開している。

ユーザー数は5億5000万人、登録ドライバー数は3000万人を超え、一日当たり3000万回、年間100億回以上のサービスを提供している。

 

タクシー配車や自動運転などと聴くとUberを思い出すが、すっかりUber Eatsの方が有名になってしまった感がある。アメリカではなかなかブレイクしない横で、この前ニューヨーク市場に上場した企業だ。

ところが、である。上場直後、中国政府がデータセキュリティーにリスクがあることを根拠に、新規ユーザー登録の禁止を命じてしまった。

 

japan.cnet.com

 中国政府の命令に伴い、人気の配車アプリ「滴滴出行」(ディディ)が中国のアプリストアから削除された。同アプリを提供するDiDi Globalがニューヨーク証券取引所NYSE)に上場してわずか数日後のことだ。

 中国サイバースペース管理局(CAC)は現地時間7月4日、DiDi Globalが個人情報の収集と利用に関する規制に違反しているとの見解を発表した。CACは、同アプリを中国のアプリストアから削除すること、またDiDiが「既存の問題」を是正してユーザーの個人情報を「効果的に保護する」ことを指示した。しかし問題の具体的な内容や、それが中国の法規制にどう違反するのかについて、詳細は明らかにしていない。

 今回の動きに先立ち、CACは2日、「国家のデータセキュリティのリスクを防止し」、公益を守るために、DiDiのサイバーセキュリティについて調査するとの通知を出していた。またそれに伴い、調査中は新規ユーザーの登録を停止するよう、DiDiに指示した。

 

中国政府が、滴滴出行に対してデータセキュリティー上のどんなリスクがあるのかは記事では明確ではない。データセキュリティー法自体を運用した結果かどうかも不確かだが、法が施行された途端にこの出来事なので世界に戦慄が走っている。

株価も、えらいことになってしまった。

 

www.bloomberg.co.jp

中国の配車サービス大手、滴滴グローバルの米国預託証券(ADR)が6日の時間外取引で急落している。中国当局が国内のアプリストアに対し滴滴のアプリを削除するよう命じたことが嫌気されている。

 

ちなみに、当局は上場前に、滴滴に警告をしていたとの報道もある。

 

www.nikkei.com

中国配車アプリ最大手の滴滴出行(ディディ)が、中国の規制当局の懸念を押し切って6月末にニューヨーク証券取引所NYSE)に上場していたことがわかった。中国当局は同社が持つ大量の個人情報が米国などに渡ることに懸念を強め、米上場の数週間前に新規株式公開(IPO)を延期して社内で調査を進めるべきだと同社に伝えていたという。

 

当局の権力はすさまじく強いのだ。

 

 

平和ボケしていてはいけないIT業界人

隣の大国のインターネットは、もはや我々の知っているインターネットではない。データや通信が秘匿されるべきと考える日本人とは真逆の状態が「実装されつつある」のである。すべてのデータは国家のものであり、それを外国へ流通させることは、国家犯罪となる。

香港にもパブリッククラウド経由でアクセスできるいくつか大きなデータセンターがあるが、いつ中国がデータセキュリティー法の網にかけてくるかもわからない。そうしたら、おそらくグローバルなパブリッククラウドからは切り離されるに違いない。そもそも海外からアクセスできることそのものが危ないのだ。

滴滴の例を見ても、この運用はすさまじく厳格なことが予想される。まず、中国でビジネスに絡んでいる方は、ぜひマインドチェンジして頂きたい。もう始まってしまったのである。