村田製作所事件の法的意義と中国のネットワークセキュリティ法と国家情報法における「ネットワーク空間の主権」

「村田製作所、再委託先が7.2万件の情報を不正持ち出し IBM中国法人の社員が個人用クラウドにアップロード」という記事があります(IT media)。

事案の内容としては

村田製作所は8月5日、会計システムの更新を委託していた日本アイ・ビー・エムの再委託先であるIBM中国法人の社員が、約7万2000件の情報を不正に取得していたと発表した。社員は業務用PCから無断でデータを取得し、中国国内のクラウドサービスを使って個人アカウントにアップロードしていたという。既にデータは削除されており「情報の悪用は確認されていない」としている。

ということです。

LINE事件でも議論されたことなのですが、このごろ、法的に何が悪いのか、というのがはっきりしないで、用語で、「不正持ち出し」とかと報道されているという気がします。この事件についても、違法なのか、というと何の法律に反するのだろうか、ということかと思います。

例えば、個人情報が含まれていたので、漏えい等(漏えい、滅失又は毀損)なのかというと、漏えいとは、不特定多数の者がアクセスしうる状態になっていることをいうのが普通でしょうから、該当はしないわけです。「滅失」とは「個人データの内容が失われること」、「き損」とは「個人データの内容が意図しない形で変更されたり、内容を保ちつつも利用不能な状態となること」を言います。

これは、村田製作所も、そのような認識で

外部への流出は確認されていないものの、データ対象範囲の広さと取引先情報および個人情報が含まれることから発表に至った

ということだそうです。

この事件については、村田製作所が会計システムの移行を日本アイ・ビー・エムに委託しており、さらに、日本アイ・ビー・エムが、委託していた再委託先の従業員が、内部の規定に違反して、そのデータを個人アカウントにアップロードしていたという場合になるわけです。この個人アカウントへのアップロードが

不正持ち出し

と報道されているわけです。「持ち出し」というのは、その従業員が、使用者の指揮・命令を免れる形でデータを保存したという認識があるかと思います。その意味では確かに持ち出しなのだろうと思います。

システム設計などを学ぶため、自分のノウハウを個人用クラウドにアップロードして、整理していた。その中に偶然、顧客の機微な情報が含まれていた

とのことなので、このようなものなのか、それとも、意図的にもちだしたのか、というのは、具体的な持ち出しの経緯等の事情によるかと思います。

この事件が、例えば、すべて日本国内で完結していたとしたら、どのように評価されていたのだろうかと思ってしまいます。その意味で、やはり、海外のクラウドサービスへの保存というのが、ひとつのリスク要素として、かなり、重視されているのかと思います。特に、中国国内のクラウドサービスというのが、大きな要素ではないかと思います。政府機関による恣意的なアクセスがなされて、それらの情報が、中国の国内法的には、合法的になされる懸念があるということが念頭にあるのかと思います。

といったものの、個人的には、中国の国家情報法、ネットワークセキュリティ法、データセキュリティ法などについてきちんとみていないので、これを機会に整理してみたいと思います。

ちなみに、データセキュリティ法については、すでに、「域外適用と対抗措置、国家安全保障審査、提供禁止-成立した中国データセキュリティ法を読んでみる」でみています。

ここで、これらの法律を簡単にみていくことにします。時系列的には、なお、習近平政権は、2014年4月に総合的国家安全観(総体国家安全観)という国家安全保障に関する基本方針を打ち出しており、その方針の下に国家安全法制の体系的な整備を進めています。この総体国家安全観については、「『China Report』Vol. 2 「総体国家安全観」の位相」とか松田康博「〔研究レポート〕中国における「政治安全」と国内安全保障法制」が論じています。

ちなみに、現在では、サイバースペース管理委員会(中華人民共和国国家互网信息公室)等が、「全面贯彻落实总体国家安全观 为全方位推进高质量发展超越筑牢安全屏障」(総体国家安全観を完全に実施し、その先の全方位的な高品質の発展のための強固な安全保障の壁を構築する」という文書を公表しています(2021年4月17日)。

この方針のもと、反スパイ法(2014年)、国家安全法(2015年)、反テロリズム法(2015年)、国外NGO国内活動管理法(2016年)などが整備されていました。

ネットワークセキュリティ法(2016年11月)

中国のネットワークセキュリティ法(网络安全法)は、いろいろと議論を呼んでいるところです。ネットワークセキュリティ法については、JETROから、翻訳がでています。こちらです。

法的な見地からの解説としては、「徹底解説:中国サイバーセキュリティ・個人情報規制」のシリーズ(1) (2) (3) (4) (5) が参考になります。簡単にみていきます。

全体の構造をイメージにしてみました。

 

インフラとしてのネットワーク(の運営)、さらにそこで流れるデータのセキュリティ(公共の利益のためのコンテンツの適法性の維持も含む)、それを守るためのプロバイダの責任、そして、国家の責務と具体的な情報共有の仕組み、緊急対応、対外的的遮断権限が折り込まれている法制度となります。

極端であるということはいえるかもしれませんが、ある意味で、非常に理論的、すっきりして、むしろ美しい仕組みにもおもえます。

以下は、個々の条文のコメントになります。


第1章 総則 (第1条から第14条)

ここでは、目的として

ネットワークのセキュリティを保障し、ネットワーク空間の主権並びに国の安全及び社会の公共の利益を保ち、公民、法人その他の組織の適法な権益を保護し、なお且つ経済・社会の情報化の健全な発展を促進するため

とされています(1条)。ここては、ネットワーク空間についても主権が及ぶことを明らかにしてる点(上の太字は筆者)に特徴があります。でしかも、これについて、主権の対内的側面と対外的側面について対応の規定が置かれているということになります。ローカル化(37条)と、越境通信の遮断の通知(50条)がこれに該当するものと考えられます。

2条は適用範囲で、

中華人民共和国内におけるネットワークの建設、運営、維持・保護、使用並びにネットワークの安全の監督管理

に同法が適用されることが明らかにされています。

3条は、個々の項目についての記述、4条は、国の責務、5条は、国の基本方針、6条は、国の望ましい環境の形成の責務、7条は、国のネットワーク空間の整備、技術の研究開発・基準の制定等の責務の記述です。8条は、国のネットワーク安全情報化機関、国務院の電信所管機関、公安機関その他の関係機関党の責務の規定です。9条は、ネットワークプロバイダの責任です。そこでは、

ネットワークプロバイダは、経営及びサービス活動を展開するにあたり、法律及び行政法規を遵守し、社会道徳を尊重し、商業倫理を遵守し、信義則を守り、ネットワークの安全保護の義務を履行し、政府及び社会の監督を受け、社会的な責任を負わなければならない。

とされており、非常に重要な役割を果たすことが明らかにされているのが興味深いと思われます。

10条は、ネットワークサービス等についての法律及び行政法規の規定並びに国家の基準の要請の規定で、11条は、ネットワークの関連業界団体の規定、12条1項は、ネットワーク使用の権利の保障をなすとともに、同2項は、濫用の禁止を定めています。13条は、未成年者の保護の規定、14条は、ネットワークのセキュリティを脅かす行為についてネットワークのセキュリティ及び情報化、電信、公安等の機関に対し通報する権利です。

第2章 ネットワークのセキュリティに対するサポートと促進(网络安全支持与促进)

15条は、国のネットワークのセキュリティ基準システムの確立し、完全化の規定であり、国務院標準化行政所管機関及び国務院のその他の関係機関の役割であることが定められています。

16条は、国務院並びに省、自治区及び直轄市の人民政府の責務を明らかにしています。

17条は、国のネットワークの安全の社会化サービスシステムの構築の推進、ネットワークのセキュリティの認証、検査測定及びリスク評価等の安全サービスの展開の推進などが記載されています。

18条は、ネットワークデータのセキュリティの保護/利用技術の開発の推奨、公共テータソースの会報の推進/セキュリティ管理方式のイノベーションの支持等の記載です。

19条 は、ネットワークセキュリティについての意識向上や宣伝教育についての規定です。

20条は、企業及び大学・大学院、職業学校等の教育研修機関のネットワークセキュリティ教育・研修のサポート、人材育成・交流について定めています。

第3章 ネットワーク運営のセキュリティ(网络运行安全)

第1節 一般規定

21条は、ネットワークセキュリティの等級制度についての記載です。

ネットワークプロバイダは、ネットワークの安全のランク保護制度の要求に従い、次に掲げるセキュリティ保護義務を履行し、ネットワークが妨害、破壊されたり、無権限のアクセスを受けることがないよう保障し、ネットワークデータが漏えいするか、窃取されるか、改竄されることを防止しなければならない。

とされ、具体的には、

  • セキュリティ管理制度・運営規定、管理責任者の定め
  • ウイルス、侵入等のセキュリティに対する危害の防止措置
  • 運行状態およひインシデントのモニタリングおよび記録、ログの保存(最低6ケ月)
  • データ分類、重要データのバックアップおよび暗号化
  • その他

の義務が挙げられています。

22条は、ネットワーク製品及びサービスは、関連する国家基準の強制的な要請に適合するものとしなければならないこと、セキュリティの欠陥(缺陷)、セキュリティホール(漏洞)が存在する場合の措置、製品・サービスの提供期間の定め、使用者情報/個人情報取得時の明示の同意等の定めです。

23条は、ネットワークの重要設備及びネットワークのセキュリティ専用製品についての関連する国家基準適合し、機関のセキュリティ認証に合格すること等についての規定です。

24条は、ネットワークの実名制の規定です。(JETRO訳による)

1項  ネットワークプロバイダは、使用者のため にネットワークの接続及びドメイン名登録の手続 を行い、固定電話、移動体通信等のネットワーク接 続手続を行うか、使用者のために情報の頒布、イン スタントメッセンジャー等のサービスを提供する にあたり、使用者と協議を締結するか、サービスの 提供を確認する際に、使用者に真実の身分情報を提 供するよう要求しなければならない。

2項 使用者が真実 の身分情報を提供しない場合、ネットワークプロバ イダは、当該使用者のために関連サービスを提供し てはならない。 国は、ネットワーク身分信頼戦略を実施し、安全 で便利な電子身分認証技術の研究開発をサポート し、異なる電子身分認証の間の相互認証を推進す る。

25条は、セキュリティ事件にかかる緊急対応マニュアルの制定、種々の事件に対応する措置の必要性、報告の義務について定めています。

26条は、国の関係規定の遵守義務の規定です。

27条は、無権限アクセス・コンピュータサボタージュ・データ窃取等の禁止およびそれらのための手段の提供の禁止等の規定です。

28条は、プロバイダの技術サポート・協力義務の規定です。

ネットワークプロバイダは、公安機関及び 国の安全機関のため法により国の安全及び犯罪捜査の活動を維持・保護し、技術サポート及び協力を提供しなければならない。

とされています。

29条は、ネットワークプロバイダ相互における情報共有の協力を定めています。

30条は、取得情報についてのセキュリティの維持・保護の必要にのみの使用するという規定です。

第2節  重要情報インフラの運用のセキュリティ(关键信息基础设施的运行安全)

31条は、重要情報インフラを

公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービス等の重要業界及び分野や、一旦機能の破壊若しくは喪失又はデータ漏えいに遭遇すると、国の安全、国民の経済・生活及び公共の利益に重大な危害を及ぼす恐れおそれのある

と定義するとともに、それらの分野に対して、重点的な保護を実施することを定めています。また、ネットワークサービスプロバイダは、自主的にこのシステムに参加することを奨励しています。

32条は、各責任機関が、重要情報インフラのセキュリティに責任をもち、それらの計画を編成して実施し、指導・監督することが定められています。

33条は、重要情報インフラの建設にあたっての留意事項です。

34条は、運営者のセキュリティ保護義務が定められていいます。興味深いのは、は、責任者及び重要職位の人員に対しバックグラウンドチェックが求められていることです。

35条は、ネットワーク製品およびサービス調達の場合において、国のセキュリティに影響を及ぼす場合における国のセキュリティ審査に合格しなければならないことが記載されています。

36条は、ネットワーク製品およびサービス調達の場合において、提供者と安全秘密保持契約を締結すべき義務を記載しています。

37条は、いわゆるデータのローカル化の規定です。

1 重要情報インフラストラクチャーの運営者が中華人民共和国の国内での運営において収集、発生させた個人情報及び重要データは、国内で保存しなければならない。
2 業務の必要性により、国外に対し確かに提供する必要のある場合には、国のネットワーク安全情報化機関が国務院の関係機関と共同して制定する弁法に従い安全評価を行わなければならない。法律及び行政法規に別段の定めのある場合には、当該定めに基づいて行う

と定められています。

この規定のもつ意味、詳細な点については、「徹底解説:中国サイバーセキュリティ・個人情報規制 第3回:データの国内保存・国外移転規制」を参照ください。実務的にも、この規定の関係で、中国における不正調査においては、中国でのデータ処理というのが必要とされるのが原則になるという問題が起きています。

38条は、重要情報インフラの運営者のセキュリティおよびリスクの検査測定評価についての規定です。

39条は、セキュリティ保護措置についての規定で

  • (1) セキュリティリスクについてのサンプル検査・検査測定の規定
  • (2)緊急対応訓練の実施
  • (3)セキュリティ情報の共有の促進
  • (4)緊急対応措置等についての技術サポート・協力

などが定められています。

第4章 ネットワーク情報のセキュリティ(网络信息安全)

40条は、使用者情報の保護を定めています。

41条は、個人情報の収集・使用にあたって適法性・正当性・必要の原則の遵守、収集および使用の規則を明示し、それらの開示、かつ提供者の同意をえなければならないことなどが論じられています。

42条は、個人情報の漏えい、改ざん、毀損の禁止、同意なしでの第三者提供の禁止(識別不可能な情報は、例外)(1項)、技術的その他の措置によるセキュリティの保障により、漏えい、改ざん、毀損の禁止の規定です。

43条は、約定違反による個人情報の削除の権利の規定です。

44条は、個人情報の窃取その他の方式による取得、不法な販売・不法な提供の禁止の規定になります。

45条は、セキュリティ監督管理職責を負う機関および職員の個人除法鵜等の秘密の保持義務と漏洩等の禁止の規定になります。

46条は、ネットワーク使用の行為についての濫用の禁止です。

詐欺の実施、犯罪方法の伝授又は違法禁止物品若しくは規制物品等の製作若しくは販売等の違法な犯罪行為に用いるウェブサイト又は通信グループを設立してはならず、ネットワークを利用して詐欺を働いたり、違法禁止物品、規制物品の製作又は販売その他の違法な犯罪行為の情報を頒布したりしてはならない。

とされています。47条は、「相当な注意」を定めています。

ネットワークプロバイダは、自らの使用者 が頒布する情報についての管理を強化しなければ ならない。法律及び行政法規により頒布又は伝送が 禁止される情報を発見した場合には、直ちに当該情 報の伝送を停止し、消去等の処置措置を講じ、情報 の拡散を防止し、関係記録を保存し、なお且つ関係 所管機関に対し報告しなければならない。

とされています。

48条は、悪意あるプログラムの設置禁止、頒布・伝送禁止情報の禁止、サービス提供者が悪意あるプログラム等の伝送をなしたことを知った場合には、サービスの提供を停止し、消去等の処置措置を講じなければならないと定めています。

49条は、プロバイダの苦情処理・通報の制度の定め、監督検査への協力の規定です。

50条は、国のネットワーク安全情報化機関の頒布・伝送禁止情報に対する対応の規定です。特にそこでは、

中華人民共和国外からもたらされたそれらの情報については、技術措置及びその他の必要な措置を講じて伝播を遮断するよう関係機関に通知しなければならない

とされています。筆者は、「通信の秘密の数奇な運命-国際的な側面」で論じたのですが、国際的な通信については、その保護の程度が低くなると解すべきなのではないか、という意見です。そして、よりゆるやかに、越境通信には、遮断等が認められることになると解しています。その意味で、中国のこの制度は、(極端ではありますが)ひとつの参考になります。

第5章 モニタリング事前警告及び緊急対応処置(监测预警与应急处置)

51条は、「セキュリティモニタリング事前情報発信制度」(安全监测预警和信息通报制度-セキュリティ観測事前警告情報発信制度)についての定めです。セキュリティの情報共有制度ということになる思います。

52条は、51条のセキュリティモニタリング事前発信制度についてセキュリティ保護業務に責任をおう機関の責務について述べられています。

53条は、国のネットワークセキュリティ機関がリスク評価および緊急対応業務メカニズムを確立する責務があること、マニュアルを制定し、訓練を定期的に実施することを述べています。

54条は、リスクの増大時において、取るべき措置として

  • (1)関係情報の収集・報告・モニタリングの強化
  • (2)専任者の組織、リスクについての分析評価、インシデント発生の可能性、影響範囲および危害程度の予測
  • (3)社会に対するリスクの事前警告・危害の会費・軽減措置の発表

が挙げられています。

55条は、緊急対応の義務を定めています。

56条は、省級以上の人民政府の関係機関の行政指導の権限を定めています。

57条は、突発事件又は生産安全事故が発生した場合についての法令等順守義務です。

58条は、通信に対する制限等の措置です。

国の安全及び社会公の秩序の維持・保護並びに重大な突発的社会安全事件の処置にかかる必要に起因し、国務院の決定又は承認を経た場合には、特定区域においてネットワーク通信に対し制限等の臨時措置を講じることができる

というのが条文で、緊急事態においては、通信の制限等が許されることが明らかにされています。

日本でいえば、従来の電信法5条は、「通信の停止」に関する文言があったものの、公衆電気通信法の制定にあたって、「現行憲法の命ずるところ、あるいは通信の秘密を侵害しないという鉄則から見まして、この公衆通信に関する法律としては、」この条文を設置することはできないとして、採用されなかったところがあります。なので、このような措置についての制定法が欠けている状態になっているわけですが、セキュリティの維持という観点から、同様の効果を解釈論で整理できないかというのが日本における課題になっているわけです。この点については、「国際的な観点から、「通信の秘密」の数奇な運命と「サイバー攻撃の指令元検知しやすく 総務省が法解釈整理 」という記事を考える」で論じています。

第6章 法的責任

第6章は、具体的な制裁等を定めています。

59条は、21条または、25条のセキュリティ保護義務を履行しない場合の是正命令を定めており、それを守らない場合には、制裁金が課されることが定められています。また、重要情報インフラの運営者については、制裁金が加重されています。

60条は、22条1項、2項又は48条に関する行為(悪意あるプログラムの設置等)をした場合の是正命令を定めており、それを守らない場合には、制裁金が課されることが定められています。

61条は、実名制の確認に関しての是正命令を定めており、それを守らない場合には、制裁金が課されることが定められています。

62条は、26条規定(国の関係規定の遵守義務の規定)違反の行為に対する是正命令を定めており、それを守らない場合には、制裁金が課されることが定められています。

63条は、27条の規定(無権限アクセス・コンピュータサボタージュ・データ窃取等の禁止およびそれらのための手段の提供の禁止等)違反の行為に対して、犯罪を構成しない場合についての違法所得の没収、交流、制裁金などが定められています。

64条は、22条3項又は第41条から第43条の規定(個人情報の保護の諸規定)に違反した場合の是正命令と制裁金を定めています。また、この場合には、

情状が重大である場合には、関連業務の一時停止、操業停止・整頓、ウェブサイトの閉鎖、行政処分としての関連業務許可証の取消し又は行政処分としての営業許可証の取消
しを命ずることができる。

とも定められています。また、44条(個人情報の窃取その他の方式による取得、不法な販売・不法な提供の禁止の規定)に違反した場合で、犯罪を構成しない場合についての違法所得の没収、交流、制裁金などが定められています。

65条は、35条(ネットワーク製品又はサービスの規定)違反の場合の使用停止命令と制裁金の規定です。

66条は、データのローカル化違反/国外提供の禁止の場合の是正警告や制裁金の規定です。

67条は、46条(ネットワーク使用の行為についての濫用の禁止)違反した場合で、犯罪を構成しない場合についての違法所得の没収、交流、制裁金などが定められています。

68条は、47条(警告後の「相当な注意」の規定)違反の場合については、是正命令、警告、情状による制裁金の規定です。

69条は、その余の、頒布伝送禁止情報に対する措置違反、監督検査拒否・妨害、技術サポート援助の提供の拒否の場合の制裁金の規定になります。

70条は、頒布伝送禁止情報に対する措置違反に対する法および行政法規の適用を定めています。

71条は、また、違反行為についての信用ファイルに記入し、なおかつ公示を行うという定めがなされています。

72条は、ネットワークセキュリティの保護義務についての是正命令と、所管者に対する処分の規定です。

73条は、ネットワーク安全情報化機関及び関係機関に対する情報の目的外利用についての処分の規定です。

74条の規定は、民事責任・刑事責任の一般規定の適用を定めています。

75条は、法の適用に関しての規定です。興味深いのでそのまま翻訳します。

第75条 中国国外の機関、組織、および個人が、攻撃、侵入に従事し中華人民共和国の重要な情報インフラを妨害、破壊などし重大な結果を引き起こした場合、法律に基づいて法的責任を負うものする。国の公安部門が また、国務院公安部および関連部門は、当該機関・組織・個人に対して、資産の凍結やその他の必要な措置を講じることを決定することができる。

これについては、重要インフラに対するサイバー的な手段によって問題を惹起することは主権侵害になるということは、このブログでも触れてきたところです。そのような行為について、国内法の観点からも責任を負うものとしていること、そして、また、対外的にも対抗措置をとりうるという根拠法令が準備されているということがいえるかと思います。

第7章 附則

附則においては、「ネットワーク」「ネットワークセキュリティ」「ネットワークプロバイダ」「ネットワークデータ」「個人情報」の定義がなされています。


国家情報法

国家情報法 (中华人民共和国国家情报法)というのは、2017年6月27日、国の情報活動の基本方針、実施体制、情報機関の職権、法的責任等について定めるるもので、同年6月28日から施行された法律です。

同法は、こちらです。分かりやすい紹介は、岡村 志嘉子(立法情報)「【中国】国家情報法の制定」がいいとおもいます。翻訳は、同「中国の国家情報法」に掲載されています。

法律の構造は、

  • 第 1 章 総則(第 1 条~第 9 条)
  • 第 2 章 国家情報活動機構の職権(第 10 条~第 19 条)
  • 第 3 章 国家情報活動の保障(第 20 条~第 27 条)
  • 第 4 章 法的責任(第 28 条~第 31 条)
  • 第 5 章 附則(第 32 条)

となっています。

第1章 総則

1条は、国家情報活動(国家情报工作)を強化保障することなどが、目的であることが述べられています。

2条は、法の目的で

総合的国家安全観 (上述参考) を堅持し、国の重大な政策決定のために参考となる情報を提供し、国の安全に危害を及ぼすリスクを警戒及び除去するために情報面での支援を提供し、国の権力、主権、統一と領土保全(统一和领土完整)、社会福祉(人民福祉)、経済社会の持続可能な発展及び国のその他の重大利益を守るものとする。

としています。ここであげられている利益の最初に「国家権力(国家政权)」が最初にきていることは、中国的という評価がされるだろうとおもいます。

3条は、国家情報システム(1項)、中央国家安全保障指導機構(中央国家安全领导机构)のミッション等(2項)、中央軍事委員会(中央军事委员会)のミッション等(3項)です。

4条は、国家情報活動(国家情报工作)の原則の規定です。

5条は、国家安全保障機関(国家安全机关和)、公安機関の情報機関(公安机关情报机构)及び軍隊の情報機関(军队情报机构)(以下、これらを総称して国家情報活動機関-国家情报工作机构という)は、職務分担に基づき、相互に協力して情報業務を行い、情報活動を実施しなければならないという規定です。

6条は、国家情報活動機関及びその職員の原則とミッションの規定です。

7条は、問題となる規定とされるので、そのまま訳をします。

いかなる組織及び国民も、法律に従い、国家情報活動を支持、援助及び協力し、国家情報活動の秘密を知らされないようにしなければならない。

国は、国家情報活動を支援、援助、協力する個人および組織を保護する。

比較法的には、情報活動に対するGag Order(箝口令)等がありますが、それに該当する条項になります。

8条は、国家情報活動は、法に従い、人権を尊重し、保護し、個人及び団体の正当な権利及び利益を守るために行われなければならないとする規定です。9条は、情報業務に顕著な貢献をした個人・団体を表彰する規定です。

情報活動への表彰というと個人的には、映画の「アルゴ」(ベン・アフレック主演 ワーナー配給 2012年)での関係者の活躍を思い浮かべたところです。Tony Mendez氏は、「インテリジェンススター」を受賞したんですね。ちなみに彼は、スパイミュージアム(DC訪問者は、必見ですね)のボードメンバーだったそうです。

本題に戻ります。

第2章 国家情報機関の権限と機能

10条は、国家情報活動機関は、その業務の必要性に応じて、必要な手段、方法及びチャネルを用いて、法律に基づき、国の内外で情報業務を遂行するものとするという規定です。ここにおいて、国家の情報行為が、その国家の国外で行われること、それが国内法的に位置づけられていることが明示されています。そして、この国外での行為は、その活動される国(以下、便宜的に活動国といいます)にとっては、国内法に触れない限り/活動国の国家としでき「保護されるべき領域」を侵さない限り、は、法的な規制とは、別次元の活動と認識されるわけです。

11条は、国家情報活動機関は、中華人民共和国の国家安全と利益を害する、国外の機関、組織、個人によって

  • 行われた
  • 指示された、
  • 資金提供された行為
  • 国内外の機関、組織、個人が互いに共謀して行った行為

に関する情報を収集し、取り扱い、

当該行為の予防、鎮圧、処罰のための情報基盤または参考資料を提供しなければならない

という規定です。

12条は、国家情報活動機関は、関連する国家法規に従い、関連する個人や組織と協力関係を築き、関連する業務を委託することができるという規定です。例えば、サイバーエスピオナージとかでも業務委託ができるわけです。この場合には、国際法的には、有効なコントロールがなされるか、どうかで国家行為となるかという問題がありえますね。

13条は、国家情報活動機関の外国との交流および協力の規定です。

14条は、情報活動を行う場合の、必要な支援、援助、協力を要請することができるという規定です。7条は、協力義務と守秘義務を定めているのは、見た通りです。

15条は

国家情報活動機関は、その業務の必要性に応じて、国の関連規定に基づき、厳格な承認手続きを経て、技術的な偵察手段および身元保護手段を採用することができる。

という規定です。技術的な偵察手段といえば、007では、Qのお仕事ですね。あと、身元保護手段というと、偽のパスポートを国のほうで準備いただけることになります。アルゴでもそうですし、「コバートアフェアーズ」でもそうですね。

16条は、国家情報活動機関の職員が、承認を得て適切な文書を提示した上での立ち入り、情報提供および問い合わせ、関連するファイル、資料および物品を参照または取得の権限を定めています。

17条は、国家情報活動機関の職員が、緊急の任務を遂行する必要がある場合には、適切な文書を提示することにより、通行の便宜を図ることができること、また、業務の必要性に応じて、関係機関、団体および個人の輸送手段、通信手段、敷地および建物を優先的に使用または要求し、必要に応じて、関連する職場、設備および施設を設置することができることを定めています。

ちなみに、業務の完了後、適時に返還または原状回復され、規定に基づき対応する費用を支払うものとし、損害が生じた場合には補償を行うものとするということが規定されています。007で派手に壊したので保障の費用が(かかって)というセリフがあったと思いますが、このような規定が定められているのですね。

18条は、国家情報活動機関は、税関、出入国国境検査その他の機関に対して、検査その他の施設の免除を要請することができるという規定です。

19条は、国家情報活動機関及びその職員の法律順守/専念義務、国家機密、商業機密又は個人情報についての守秘義務を定めています。

第3章 国家情報業務の保護

20条は、国家情報活動機関およびその職員は、法律に基づいて諜報活動を行う上で、法律によって保護されることを定めています。

21条は、国の国家情報活動の建設の強化等を定めています。また、諜報活動の必要性に応じた人材の募集、選定、評価、訓練、処遇、撤退のための管理システムを構築することを定めています。

22条は、 国家活動機構は、情報業務の必要性に適応し、情報業務を遂行する能力を向上させなければならないこと(1項)、科学技術的手段を用いて、情報の識別、選別、合成、調査分析のレベルを向上させなければならないこと(2項)を定めています。

23条は、国家情報機関の職員が職務を遂行しているためにその身の安全が脅かされ、もしくはその近親者の身の安全が脅かされている場合、または国家情報機関と協力関係を結んでいる者が国家の情報業務に協力している場合、国家の関連部門はそれらの者を保護し、救助するために必要な措置を講じなければならないと定めています。

24条は、国の諜報活動に貢献した者に対しての住居の提供、その支援の規定です。

25条は、国家情報業務を遂行し、または国家情報業務を支援、援助、協力した結果、障害を負い、または死亡した者には、国の関連法規に従い、相応の補償と優遇措置が与えられること、それらにより財産の損失が生じた場合についての補償の規定です。

26条は、国家情報活動機関は、厳格な監督およびクリアランス審査のシステムを確立し、職員の法律および規律の遵守等を監督し、法律に基づき定期的または不定期的にクリアランス審査を行うために必要な措置を講じなければならない。

(コメント)これは、文脈的にクリアランス制度と思われるのでそのように訳出しています。

第27条は、国家情報活動機関およびその職員の権限のゆ越、濫用、その他の違法行為等についての報告・告発の権利、その不正の嫌疑についての調査・処理の義務、報告または苦情を行った人への調査または処理の結果を通知しなければならないこと(1項)、上記不正報告/告発の保護/報復禁止し(2項)、不正報告・告発の便利なチャネルを提供し、報告者や告発者の秘密を保持しなければならないこと(3項)を定めています。

第4章 法的責任

28条は、国家情報活動機関等の情報活動に対して妨害した者に対する処罰/警告/拘留/刑事責任の規定です。

29条は、 国家情報活動に関連する国家機密を開示した場合についての処罰/警告/勾留/刑事責任の規定です。

30条は、国家情報活動機関の職員などになりすまして、勧誘、詐欺、恐喝の行為を行った場合に、処罰され、犯罪を構成した場合は、法律に基づいて刑事責任を問われるという規定です。

31条は、国家情報機関またはその職員の権限のゆ越、濫用、その他の違法行為、地位の濫用、または、国家機密、商業機密および個人情報の開示などの違法で規律のない行為を行った場合、法律に基づいて処罰され、それらが犯罪を構成する場合には、法律に基づいて刑事責任を問われるという規定です。

この国家情報法については、「中国の国家情報法 在外公館の情報管理に懸念」、 高市早苗「中国の『国家情報法』」「「国家情報法」を用いれば、日本の個人情報を中国がすべて持つことに~LINE個人情報閲覧問題」、令和元年六月十八日提出 質問第二四九号「デジタル上の人権(人格権)の尊重に反する中華人民共和国国家情報法に関する質問主意書」 「中国の「国家情報法」とは?その危険性は?わかりやすく解説」などがあります。

また、ファーウェイの「私たちは独立した企業です」というプレスリリースも参考になります。

論点としては、

批判論 擁護論
中国の国民や組織は、中国政府の情報活動に協力する義務がある(国家情報法7条) 国家情報活動は法に基づき人権を尊重及び保障し、個人及び組織の合法的権益を守らなければならないとされている(同8条)
政府に代わって企業が情報収集を強制することを政府が許可している 通信機器メーカーにバックドアの埋め込みまたは顧客ネットワークの無効化を要請することを国家情報機関に許可するような中国の法律はない
中国政府の種々の方法で介入することは明らかである。 政府または第三者が会社等の事業に介入したり、意思決定に影響を与えたりすることはない

というような形になるかと思います。

法の立て付けとしては、一般的なものでしょうし、理論的には、中国の公式見解のとおりでしょうね。でも、その公式見解が信じられないから、問題としているのでしょうということです。議論としては平行線というところでしょうか。

アメリカにおいても、情報活動に対して、本当に民主的コントロールがなされていたのですか、スノーデン事件をみましょう、という反論は、どちらに対するブーメランなのか、ということを思い出させます。


現実から考えると

ひとつはっきりしているのは、ネットワーク社会においても、国家主権というのは、現実に存在しており、その「ネットワーク空間における主権」の認識が、中国においては、データセキュリティ法を加えた一連の法律で理論的にきれいに整理されているということであろうと思います。

これを図で示します。

国家主権とは、

国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する

(パルマス島事件 1928)とされています 。

この国家主権は、対内主権(Internal Sovereignty)、対外主権(External Sovereignty)にわけて論じられます。サイバースペースにおいては、対内主権(Internal Sovereignty)は、

国際的な義務に違反しないかぎりにおいて、国家は、その領域におけるサイバーインフラおよびサイバー活動に対して主権(sovereign authority)を行使しうる

ということになります。従って、国家情報法の各制度は、この主権の現れそのものということができるわけです。また、ネットワークセキュリティ法においてもそのインフラの防御を定めうる、データの国内保存を義務づけるというのは、このような権能の現れと解することができるでしょう。

一方、対外主権(External Sovereignty)は、

国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということ

をいいます。

なので、ネットワークセキュリティ法おいて、越境通信の遮断というのは、このようなネットワークにおける主権を明らかするものとして位置づけることができると考えられます。

このような現実を無視して、「通信の秘密」は、国際的にもどのような利益にも勝るものと理解されているはずである、という感覚で活動することは、おめでたいことになるということは理解すべきなのだろうと思います。情報活動について民主的なコントロールをしていますといっている国でさえ、ルール逸脱をしていたのだから、世界では、何が行われていたとしても、まずは、自分の身を守らないといけないということだろうと思います。

可能なことは、データの所在地において発生する国家の情報活動等から生じるリスクを正確に把握して、それに基づいて対応することだろうと思います。

まずは、上記「重要なデータ」の国内保存義務を我が国においても、明確化するべきなのではないか、という問題を考えるべきと思われます。

そして、国民の活動がネットワークに大規模に依存するようになった現代においては、政府の情報活動をより積極的に肯定し、それの民主的コントロールを考えるべき、という論点がでてくるように思われます。

関連記事

  1. コンタクトトレーシングのPIA-COVIDSafe (3) 推奨…
  2. SolarWinds作戦の国際法的分析について
  3. コロナウイルス(Covid-19)とGDPR (18) データ保…
  4. 脆弱性と瑕疵の間に(再考)
  5. 国連GGE2020-21報告書速報を分析する-タリンマニュアルを…
  6. 通信のデータについてのクラスわけ(1)
  7. CyCon2017 travel memo 8) Day2 午後…
  8. 情報システム等の脆弱性情報の取扱いにおける報告書
PAGE TOP