全てを見る

中国製のデバイス、アプリは危険なのか?2020年開始の「パスワード管理法」について解説していくよ

セント

こんにちは、Centです。

今回は、2020年1月1日に開始中国の「パスワード管理法」の解説をしていこうと思います。

この報道を聞いて、私が思った事は、中国以外の海外で売られている中国製品、例えばファーウェイやシャオミといった、携帯電話などのデバイスから、TikTokなどの中国製アプリケーションは大丈夫なのか?と言うことでした。

まずは、新しくできた法律がどのような内容なのか、中国語から日本語に翻訳してみようと思います。

全文いきますねww大変そうですが☺️

法律は長いので、時間のない人は目次から飛ばして「8」から読んでください。

そして内容を見た上で、どんなことが危険なのか、どんなことが大丈夫なのかと言うことを考えていきたいと思いますね。

それでは今日もお付き合い下さい。



パスワード法全文翻訳(中华人民共和国密码法)

(2019年10月26日の第13回全国人民代表大会の常任委員会の第14回会議に採択)

目次

  • 第1章 一般規定
  • 第2章 コアパスワードと共通パスワード
  • 第3章 商用パスワード
  • 第4章 法的責任
  • 第5章 補足条項

第1章 一般規定

第1条

この法律は、パスワードの適用と管理を規制し、パスワード業界の発展を促進し、ネットワークと情報のセキュリティを保護し、国家安全保障と社会的公益を保護し、市民、法人、その他の組織の正当な権利と利益を保護するために制定されています。

第2条

この法律で使用される「パスワード」という用語は、特定の変換方法を使用して情報、その他の情報を暗号化保護する技術、製品、サービスを指します。

第3条

暗号化作業は、国家安全保障の概念を順守し、階層的責任、革新的な開発、全体的な状況の提供、法律に従った管理、安全性の確保の原則を順守します。

記事4

暗号化作業に関する中国共産党のリーダーシップを順守します。暗号作業の組織は、国家暗号作業に関して統一されており、国家暗号作業のための主要なガイドラインとポリシーを定め、国家暗号作業に関連する主要な問題と重要なタスクを調整し、国家暗号法の構築を促進するものとします。

第5条

パスワード管理部門は、国家のパスワード作業を管理する責任があります。ローカルパスワード管理部門は、それぞれの管理領域でパスワード作業を管理する責任があります。

暗号化作業に関与する機関は、それぞれの責任範囲内にあるユニット、またはシステムの暗号化作業に責任を負います。

第6条

国家は、パスワードの機密管理を実施しています。

パスワードは、コアパスワード、普通パスワード、商用パスワードに分けられます。

第7条

コアパスワードと通常パスワードは、国家の秘密情報を保護するために使用されます。

コアパスワードと共通パスワードは状態の秘密です。パスワード管理部門は、この法律、関連する法律、管理規則、および関連する州の規則に従って、コアパスワードと通常のパスワードを厳密かつ均一に管理するものとします。

第8条

商用パスワードは、国家機密ではない情報を保護するために使用されます。

市民、法人、その他の組織は、商用パスワードを使用して、法律に従ってネットワークと情報を保護できます。

第9条

国家は、暗号科学技術の研究と応用を支援し、法律に従って暗号分野の知的財産を保護し、暗号科学技術の進歩と革新を促進します。

国家は、人材のトレーニングと暗号化のチームビルディングを強化し、関連する国家の規制に従って、暗号化に顕著な貢献をした組織および個人に報酬を与えます。

第10条

国家は、パスワードセキュリティ教育を強化するためにさまざまな形態を取り、国家教育システムおよび公務員教育およびトレーニングシステムに組み、市民、法人、およびその他の組織のパスワードセキュリティに対する意識を高めます。

第11条

人民政府は、暗号化作業を国の経済社会開発計画に組み込み、必要な資金を財政予算に含めるものとします。

第12条

組織または個人は、他人の暗号化によって保護されている情報を盗んだり、他人のパスワード保護システムに不正に侵入したりすることはできません。

いかなる組織または個人も、国家安全保障、社会的公益、および他者の正当な権利と利益を危険にさらす違法および犯罪行為に従事するためにパスワードを使用することはできません。

第2章 コアパスワードと共通パスワード

第13条

国家は、コアパスワードと普通パスワードの管理と使用、システム構築を強化し、管理対策を改善し、パスワードセキュリティ機能を強化します。

第14条

有線および無線通信で送信される国家の機密情報保存および処理する情報システムは、法律、行政規制および関連する国家の規制に従って、暗号化保護およびセキュリティ認証にコアパスワードおよび通常のパスワードを使用するものとします。

第15条

コアパスワードおよび共通パスワードの研究、生産、サービス、テスト、使用、および破壊(以下、総称してパスワード作業機関と呼びます)に従事する機関は、法律、行政規制、コアパスワード、および共通パスワードを遵守するものとします。適切なセキュリティ管理システムを確立し、厳格な機密性対策と機密性責任システムを採用して、コアパスワードと通常のパスワードのセキュリティを確保しています。

第16条

パスワード管理部門は、法律に従って、パスワード作業組織のコアパスワードおよび共通パスワード作業に関するガイダンス、監督、および検査を提供し、パスワード作業組織は協力するものとする。

第17条

パスワード管理部門は、業務のニーズに応じて、コアパスワードと共通パスワードのセキュリティ監視と早期警告、セキュリティリスク評価、情報通知、緊急処理などを確立し、コアパスワードと共通パスワードの安全な管理を確保するものとします。

暗号化作業機関は、コアパスワードまたは共通パスワードの漏洩、コアパスワードまたは共通パスワードのセキュリティに影響する主要な問題、または隠れたリスクを発見した場合、直ちに対策を講じ、セキュリティ管理部門およびパスワード管理部門に時間内に報告するものとします。

パスワード管理部門は、関連部門と協力して調査と処置を組織し、関連するパスワード機関に隠れたセキュリティリスクをタイムリーに排除するよう指示します。

第18条

国家は、暗号作業機関の職務を確実に遂行するために、暗号作業機関を強化します。

主要なパスワードと通常のパスワードのニーズを満たす、人員の募集、選択、機密性、評価、トレーニング、治療、報酬と処罰、および引き出しの管理システムを確立します。

第19条

パスワード管理部門は、関連する国内規制に従って、公安、輸送、税関、およびその他の部門に、コアパスワードおよび共通パスワードの検査の免除などの施設、およびその他の人員を要求することができ、関連部門は支援するものとします。

第20条

パスワード管理部門は、健全で厳格な監督とセキュリティシステムを確立し、スタッフの法律と規律の遵守を監督し、定期的なセキュリティレビューを組織するために法律に従って必要な措置を講じなければなりません。

第3章 商用パスワード

第21条

国家は、研究開発、学術交流、成果の変革、商業暗号化技術の促進と適用を奨励し、、開かれた競争力のある、秩序ある商業暗号化市場システムを改善し、商業暗号化産業の発展を奨励し促進します。

すべてのレベルの人民政府とその関連部門は、非差別の原則に従い、外国投資企業(以下、商業暗号エンティティと総称する)を含む商業暗号研究、生産、販売、サービス、輸出入を平等に扱います。

国家は、外国投資の自発的な原則と商業規則に基づいた商業パスワード技術協力の発展を奨励しています。行政機関とその職員は、商業的暗号技術の移転を強制するために管理手段を使用してはならない。

商業パスワードの調査、生産、販売、サービス、およびインポートとエクスポートは、国家安全保障、社会的公共の利益、または他者の正当な権利と利益を損なってはなりません。

第22条

国家は、商用パスワード標準システムを確立および改善します。

国務院の標準化管理部門と国家パスワード管理部門は、それぞれの責任に応じて、商業パスワードの国家標準および産業標準の策定を組織しなければならない。

企業が独立した革新技術を使用して、商業標準パスワードおよび国家標準、業界標準、関連する技術要件よりも高い企業標準を支援しています。

第23条

国家は、商業パスワードの国際標準化活動への参加を促進し、商業パスワードの国際標準の策定に参加し、商業パスワードを促進します。

国家は、企業、社会団体、教育機関、研究機関に、商用パスワードの国際標準化活動への参加を奨励しています。

第24条

商業パスワードに従事する事業体が商業パスワード活動を行う場合、関連する法律、行政規則、商業パスワードの強制的な国家基準、およびそのようなユニットの公開基準の技術的要件を遵守するものとする。

国家は、商業パスワードの保護者が商業パスワードの保護機能を改善し、ユーザーの正当な権利と利益を保護するために、商業パスワードの推奨される国家標準と業界標準を採用するよう奨励します。

第25条

国家は、商用パスワードの検出と認証システムの構築を促進し、技術仕様と規則を策定し、商用パスワードの実践者が検出と認証を自発的に受け入れることを奨励し、市場競争力を高めます。

商用パスワード検出および認証機関は、法律に従って関連する資格を取得し、法律および行政規制、技術仕様および規則の規定に従って実施するものとします。

商用パスワードの検出および認証機関は、商用パスワードの検出および認証で学んだ国家機密および商用機密を保持する義務を負うものとします。

第26条

国家安全保障、国家経済、人々の生活、および公共の利益に関連する商用暗号化製品は、法律に従って主要なネットワーク機器および特別なネットワークセキュリティ製品カタログにリストされ、資格のある機関による認定を受けた後にのみ販売または提供されます。

商用パスワード製品は、テストと認証の重複を避けるために、テストと認証に関する中華人民共和国のサイバーセキュリティ法の関連規定の対象となります。

商用パスワードサービスがネットワーク機器およびネットワークセキュリティ用の特別な製品を使用する場合、商用パスワードサービスの商用パスワード認証機関によって認定されるものとします。

第27条

法律、行政規制、および商業パスワードでの保護に関する関連する国内規制で必要とされる主要な情報インフラストラクチャについては、事業者は商業パスワードを使用して保護し、検出機関にアプリケーションのセキュリティ評価を実施するものとします。

セキュリティ評価は、重要な情報セキュリティ検出評価およびネットワークセキュリティレベル評価システムとリンクして、評価の繰り返しを回避する必要があります。

主要な情報インフラストラクチャは、国​​家のセキュリティに影響する可能性のある商用パスワードを含むネットワーク製品およびサービスを購入し、国家のパスワード管理部門と連携して国家のネットワーク情報部門を通じて「中華人民共和国のサイバーセキュリティ法」の規定に従って組織化する必要があります。

第28条

国務院の有能な商業部門と国家のパスワード管理部門は、国家安全保障、社会的公益、暗号化保護機能を含む商業パスワードの輸入許可を実施するものとする。パスワードは輸出規制の対象です。商用パスワードインポートライセンスリストと輸出管理リストは、国のパスワード管理部門および税関総局とともに国務院の有能な商業部門によって策定および発表されます。

大量消費者製品で使用される商用パスワードは、輸入ライセンスおよび輸出管理システムを実装していません。

第29条

パスワード管理部門は、商業パスワード技術を使用して電子政府サービスおよび電子認証サービスの機関を特定し、関連部門と連携して政府業務における電子署名およびデータメッセージの使用の管理を担当するものとします。

第30条

商業パスワードの分野の業界団体およびその他の組織は、法律、行政規則、およびそれらの定款の規定に従って、情報、技術、およびその他のサービスを商業パスワード実践者に提供し、商業パスワード実践者が法律に従って商業パスワード活動を実施するよう指導および要請するものとします。業界の自己規律を強化し、業界の完全性を促進し、健全な業界の発展を促進します。

第31条

パスワード管理部門と関連部門は、日常の監督とチェックを組み合わせた商用パスワードの監督システムを確立し、統一商業パスワードと管理情報プラットフォームを確立し、監督と社会信用システムの統合を促進します。商用パスワードの実践者の自己規律と社会的監督を強化します。

パスワード管理部門および関連部門とそのスタッフは、ソースコードなどのパスワード関連の専有情報を開示するために、商用パスワードプラクティショナーと商用パスワードテストおよび認証機関を要求してはならない。

業務を遂行する際に知った企業秘密と個人のプライバシーを厳密する必要があります。他人に開示されたり、違法に提供されたりすることはありません。

第4章 法的責任

第32条

規定に違反する者は、暗号化された情報を盗み、他者のパスワード保護システムに違法にハッキングし、または国家安全保障、社会的公益、および他者の法的権利を危険にさらす違法行為。パスワードを使用する関連部門は、「中華人民共和国サイバーセキュリティ法」およびその他の関連法および行政規則に従って法的責任を追求するものとします。

第33条

本法第14条に違反し、要件に従ってコアパスワードまたは通常のパスワードを使用できない場合、パスワード管理部門は、違法行為の修正または中止を命じ、警告を発するものとします。

状況が深刻な場合、パスワード管理部門は関連国に助言するものとします。法に基づいて直接責任者および直接責任者を処罰または処理するものとします。

第34条

この法律の規定に違反した、コアパスワードまたは通常のパスワードの漏洩を含む事件は、秘密の管理部門およびパスワード管理の管理部門によって、法に基づいて直接責任者および直接責任者に直接責任を負う国家機関およびユニットに課されるものとする。

第17条に違反して、コアパスワードまたは共通パスワードが漏洩した場合、またはコアパスワードまたは共通パスワードのセキュリティに影響を与える重大な問題が発見された場合、隠れたリスクがとられず、直ちに対策が講じられない、または報告が迅速に処理されない場合、機密性の管理が管理されます。部門およびパスワード管理部門は、関連する州の機関およびユニットに、法に基づいて直接責任者および直接責任者を処罰または処理することを推奨しています。

第35条

商業パスワードの検出および認証機関が、商業パスワードの検出および認証を行うために本法の第25条の規定に違反する場合、市場監督および管理部門はパスワード管理部門とともに違法行為の修正または中止を命じなければならない。

警告を与え、違法所得を没収します。

違法所得が30万元を超える場合、違法所得の1から3倍の罰金が同時に科せられます。

違法所得がないか、違法所得が30万元未満の場合、罰金は同時に科せられます。

10万元未満の罰金。状況が深刻な場合、関連する資格は法律に従って取り消されます。

第36条

本法第26条の規定に違反して、認証されていないか認証試験に合格しなかった商用パスワード製品を販売または提供する場合、または認証されていないか認証に合格しなかった商用パスワードサービスを提供する場合、市場監督管理部門とパスワード管理部門は、違法行為の修正または停止を命じ、警告を発し、違法製品と違法収入を没収します。

違法収入が10万元を超える場合、違法収入の1倍から3倍の罰金が同時に課せられる可能性があります。

違法収入の金額が10万元未満の場合、3万元から10万元の罰金が同時に科される場合があります。

第37条

主要な情報インフラストラクチャの運営者は、本法第27条第1項に違反し、必要に応じて商用パスワードを使用しない、または必要に応じて商用パスワードアプリケーションのセキュリティ評価を実施せず、パスワード管理部門により命じられるものとする訂正と警告が与えられます。

訂正を拒否したり、ネットワークセキュリティを危険にさらすなどの結果を引き起こす者は、10万元から100万元までの罰金を科され、直接責任者は1万元から10万元までの罰金を科されます。

この法律の第27条2項の規定に違反し、セキュリティレビューに合格していないかセキュリティレビューに合格していない製品またはサービスを使用する重要な情報インフラストラクチャの運用者は、関連する権限のある当局による使用を停止するよう命じられ、購入額は2倍になります。

罰金は最大10回、1万元から10万元までの罰金が、責任者およびその他の直接責任者に課せられます。

第38条

輸入許可および輸出規制の実施に関する本法第28条の規定に違反した場合、商業パスワードの輸入および輸出は、国務院の管轄商業部門または税関による法律に従って処罰されるものとする。

第39条

本法第29条に違反し、特定されずに電子政府電子認証サービスに従事する場合、パスワード管理部門は、違法行為の修正または停止を命じ、警告を発し、違法製品および違法収入を没収するものとする。

金額が10万元を超える場合、違法所得の1から3倍の罰金が同時に科せられます。

違法所得がない場合、または違法所得が30万元未満の場合は、10万から30万元の罰金が同時に科せられます。

第40条

パスワード管理部門のスタッフメンバー、および権限を乱用する、職務を怠る、個人的な利益のために不正行為を行う、または法律に従って職務の遂行において学んだ商業的秘密および個人的プライバシーを他者に開示または違法に提供する関連部門および部門は罰せられます。

第41条

この法律の規定に違反し、犯罪を構成する者は、法律に従って刑事責任について調査されるものとし、他人に損害が生じた場合、民事責任は法律に従って引き受けられるものとする。

第5章 補足条項

第42条

国家のパスワード管理部門は、法律および行政規則に従ってパスワード管理規則を策定するものとします。

第43条

中国人民解放軍と中国人民武装警察部隊のパスワードの管理のための措置は、この法律に従って中央軍事委員会によって策定されるものとする。

第44条

この法律は、2020年1月1日に施行されます。



法律のまとめ



第一章

  • パスワードを国家機密レベルで管理していくよ
  • パスワードは、機密、普通、商用の3つに分かれてるよ
  • みんなのパスワードの意識を高めていくよ
  • パスワード技術を高めるために、国家予算をつぎ込んでいくよ
  • 悪用されないように管理するからね

第二章

  • パスワードの管理の安全性をどんどん高めていくよ

第三章

  • 外国資本の企業も平等に扱うよ
  • 国際基準でパスワードを管理していくよ
  • パスワードを扱う製品は、国家の許可が必要だよ
  • パスワードを扱う人は、絶対に外部に漏らしてはいけないし、悪用されることもありません

第四章

  • 各々の違法行為に関しての、罰金を細かく書いています

第五章

  • 国家のパスワード管理機関は、法律と行政に従います
  • 中国人民解放軍と中国人民武装警察部隊のパスワードの管理は、中央軍事委員会に従います
  • 2020年1月1日から、開始します




パスワード法から考える

法律を見る限り、中国国内のものに限定されるような文言が並んでいますね。

しかし、中国国内でのデバイスの使用はパスワードを含めた、個人情報は筒抜けになるということを示しています。

だから、基本的には、中国の中にいなければ大丈夫だとは思いますが、中国国内だけで、パスワードを抜き取るということは、考えられません。

そして、パスワードの扱いですが、第五章で国家のパスワード管理機関と、人民解放軍を含めた、政府機関は別格の扱いになっているので、いつでも悪用できることを暗に示していると言えるでしょう。



パスワード管理

パスワード管理に関しては、どこの国でも、政府に全て筒抜けになっていると考えた方がいいと思います。

しかし、ハッカーなどの悪用を目的とした人に情報が流れていないだけ、と考えるのが普通でしょう。

たまに、クレジットカード情報が何万人分も流出したなんてニュースもあるくらい、各企業は、個人情報を持ってますから、あまり変わらないのかも知れません。

日本でも、アメリカでも、中国でも、パスワードは国家が管理しているのは変わらないでしょうね。

ただ、中国共産党と、人民解放軍が別格で扱われているのが少し気になってしまうところですね。



中国の狙い

中国政府の考えは、1つだけだと考えています。

今までは、中国に海外企業が進出するときには、株主比率を51%以上を中国人にする必要がありました。

要するに、中国の企業として、国家が管理できていたわけです。

しかし、2018年から、海外企業の進出基準を緩くし始めているので、株主比率を下げてもOKになりました。

そこで、「海外の企業」ということで、中国政府が管理できない部分が出てきたので、今回の法律を作って、スパイなどの対策をしたというのが、可能性が高いところです。



デバイス、アプリは大丈夫?

今までと、何も変わらないと考えて、大丈夫だと思います。

国際的にも、中国製品への不安も大きい時期なので、このタイミングで中国製品に何か問題が出たら、それこそ、中国製品が世界中で排除されてしまいますから。。。

そんな大きなリスクを取ってまで、パスワードが欲しいというのは考えられませんね。



まとめ

今回は、2020年、1月1日に中国で開始された、「パスワード法」についての内容解説と、中国のデバイスや、アプリは安全なのか?について、話をしてきました。

結論は、今まで通りと考えられますが、私の意見であって、100%ということはありません。

翻訳に関しては、法律特有の言い回しに関しては、少し言葉を変えているところもありますし、繰り返しのところは言葉を省いたりもしました。

ご了承ください。

パスワードが筒抜けになったら、危ないなんて報道もたくさんみましたが、今までも盗んでたでしょってことで、私たちに取ってはあまり変わらないですね。

中国政府は、とにかく中国の全てを管理しようとしていますからね。

今では、全ての中国人は点数化されています。。。

詳しくは、下にリンクを貼っておきます。

アリババの人間点数化ビジネス芝麻信用です!

それでは、またお会いしましょう!




COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です