中国のビッグテックが直面する新たなデータ保護法とは?

China’s Big Tech face wake-up call as country’s web of data protection laws grows more elaborate

2021/07/11 SCMP — 中国のインターネットを Great Firewall で検閲している 中国の Cyberspace Administration of China (CAC) だが、これまで企業の株式公開計画にほとんど関与していなかった。2011年に CAC が設立されたときには、中国企業が香港や NY などで上場する道筋は、弁護士や投資銀行家にとって当たり前のルートになっていた。中国の他の行政機関と同様に、CAC は企業に助言を与えることはできても、IPO のゲートキーパーとしての法的拘束力はない。

そのため、CAC が Didi Chuxing の膨大なデータに関する、セキュリティ上の懸念を指摘すると、Didi Chuxing は IPO に踏み切り、6月30日に NY 証券取引所に上場した。Didi Chuxing は、中国市場で Uber を抑えてライド・へイリングの覇権を握っており、この上場は Didi Chuxing にとって大成功となった。Didi は、世界で最高の資本市場において、今年の中国企業の上場としては最大規模となる US$4.4 billion の資金を獲得した。

しかし、この幸福は長くは続かなかった。その2日後に、CAC は Didi Chuxing に対するサイバー・セキュリティ調査結果を発表し、Didi の株価は暴落した。現在、米国では集団訴訟が起こされており、同社の幹部は隔離された状態になっている。そして 7月10日に、CAC が発表した草案は、ユーザー数が 100万人を超える中国ハイテク企業に対して、海外の取引所への上場の前に、サイバー・セキュリティ審査を義務付けるものだ。

Singapore Management University 大学の Henry Gao 准教授は、Didi を巻き込んだサイバー・セキュリティ規制の網は、20年近く前から準備されていたと述べた。Gao は、「習近平がデータの安全性なくして国家の安全性なしと考えているため、中国はデータを非常に重視している。重要なデータ が悪人の手に渡らないようにすることが強調され、それが Didi に対する調査の理由である」と解説している。

このパズルの最も重要なピースの1つが、2017年に施行されたサイバー・セキュリティ法が。EU は General Data Protection Regulation (GDPR)  でプライバシーを優先し、米国は商業的利益を保護してきたが、中国政府はサイバー・セキュリティ法に自らの利益を書き込んで、関係者に対してサイバー・セキュリティを保護し、サイバー・スペースの主権と国家安全を守ることを求めている。その後の中国では、データ・ガバナンス体制の整備が加速させられた。今年は、9月に施行されるデータ・セキュリティ法 (Data Security Law) を導入し、個人情報保護法も検討中だ。北京は、データをしっかりと管理しながら、経済的潜在力を引き出し、消費者のプライバシーを保護することを目指している。

DSL (Data Security Law) では、コアデータと重要データを保護するための、データ分類システムの確立が求められているが、デジタル経済の活性化のために、機密性の低いデータの使用は容易になる。この法律では、規制当局の適切な承認を得ずにコアデータを海外に移転した企業は、最高で 10 million yuan (US$1.54 million) の罰金が科せられ、事業停止に追い込まれる可能性もある。また、事前に承認を得ずに、外国の司法機関や法執行機関に重要なデータを渡した企業には、最高 5 million yuan の罰金が科せられる。

この記事は、中国におけるデータ保護の動向に注目していますが、国家安全保障を理由にデータの国境を設定しているのは、中国だけではないとも指摘しています。たとえばインドですが、北京を拠点とする ByteDance の TikTok は、昨年6月の国境紛争の際に、最大のマーケットであったインド市場を失いました。そして、TikTok は、インドで禁止される 59種類の中国アプリのリストに入れられました。

オランダの Tilburg University でデータ保護とサイバー・セキュリティ法を研究している Emmanuel Pernot-Leplay は、「中国も米国も、自国民のデータが国家安全保障の弱体化に利用されることを懸念している。現実の法的根拠は両国間で異なるが、どちらのケースにおいて、個人データが国境を越えるときに生じるプライバシーへの懸念が、単にサイバー・セキュリティやプライバシーに関する規則の遵守を超えた目的のために、利用される可能性があることを示している」と述べています。中国のハイテク企業にとって、大量のデータを活用して自由に成長してきた時代の終わりを意味し、新しい規制に従わない場合は影響を受けることになるのでしょう。

%d bloggers like this: