Global Reachグローバル展開する企業を支援

MENU

コラム|Column

中国での個人情報の漏えい

「なんで電話を使わないのに個人情報が漏れるのか…」――雲南省の30代のAさんは驚いていた。Aさんは携帯電話(フィーチャーフォン)の時代から同じ電話番号を利用している。データ通信をほぼ使わず、電話をメインで使っているので月額料金は10元程度と安く済ませていたが、昨今の外出先でのモバイルデータ通信の必要性を感じたことから、これとは別にデータ通信を使うために2枚目のSIMカードを導入し、スマートフォンに2枚のSIMカードをいれて利用している。2枚目のSIMカードからは電話をかけないのだが、ある日その番号に勧誘セールスの電話がかかってきたのだ。

中国では外国人である筆者もまた、ときどきSIMカードを新調する際に、セールスの電話がかかってくることがある。既に多くの人がその電話がセールスの番号だと登録しているので、電話がかかると「スパム」と表示される。スマートフォン側で対応できて、電話を取らずにすむのはいいことではあるが、個人情報の悪用を防止することがひとつの目的である「網絡安全法(ネットワークセキュリティ法)」が施行された現在においても、漏えいによる何かは日常的に発生している。

中国サイバーセキュリティ法に関する中国国民の感覚

ECサイトでは、特に「双十一」セールなどにおいて、驚くほど安く商品が売られていることがあるが、これは商品で利益を得るのではなく、個人情報を得て売却益を得るといわれている。個人情報の漏えい話を中国人に聞いてみればわかるだろう。彼らにとって珍しいことではない。そんな個人情報を守るのが目的のひとつとしてできたのが、2017年6月から施行された、中国サイバーセキュリティ法こと「中華人民共和国網絡安全法(略称:網絡安全法 発音:ワンローアンチェンファ)」だ。

大規模なニュースでは、2018年8月に漢庭酒店や全季酒店といったホテルチェーンを抱える華住酒店集団の個人情報が計5億件漏えいし、販売されていた。その後9月に犯人が逮捕されたが、その後どう裁かれたか、網絡安全法がどう使われたかについて詳細は明らかになっていない。

網絡安全法といえば当時「自国の個人情報は自国内で完結し、外に持ち出す場合は然るべき手続きを取る」ということが特に報じられた。網絡安全法がために、中国の外資企業各社は、中国でネットサービスを提供する際に、中国の国内にサーバーを設置し運用しなければならなくなった。たとえばAppleがクラウド産業を推進する貴州省に中国ユーザー向けのiCloudのサーバーを設置したのもそれが背景だ。

2017年6月の施行開始から1年半以上が経過しているが、網絡安全法を使って積極的に取り締まるといったニュースは確認できない。また日系企業へのヒアリングでも、網絡安全法を順守しているかの抜き打ちチェックのようなものは今までなかったと聞く。何人かから聞いた分析として共通しているのは「何か問題が発生し行政処罰が発生するときに、法的根拠として網絡安全法を使うのではないか」とのこと。

中国サイバーセキュリティ法が与えるネットユーザーへの影響

網絡安全法は、「中国で生成された個人情報などのデータを外に出さない」ほか、「重大事件発生時にはネットワーク通信管制を採取できる」「基礎インフラのネットワークを重点的に保護する」「ネットワーク実名制とする」「ネット詐欺を厳しく取り締まる」「個人情報を販売させない」といった内容が挙げられる。

網絡安全法が施行されて、最もネットユーザーに目に見えて影響を与えたのが、スマートフォンによる各種ネットサービスの実名登録だ(第三章第24条)。中国移動(チャイナモバイル)や中国電信(チャイナテレコム)や中国聯通(チャイナユニコム)の各キャリアで実名登録した電話番号を、各種ネットサービス利用時に登録して実名認証する。スマートフォン向けアプリだけでなく、パソコン用WEBサイトも実名認証が必要となり、例えばECサイトの淘宝網や天猫を検索していると、「網絡安全法によりスマートフォンでの認証をお願いする」旨の画面が表示される。こうした場合、QRコードをスマートフォンのサービスと同一のアプリからスキャンするか、騰訊(テンセント)の微信(ウィーチャット)からスキャンすると、パソコン用WEBサイトが見られるようになる。

ネット利用者からすれば、スマートフォンアプリだと認証作業は最初だけで済むが、パソコン用WEBサイトでは利用の度にスマートフォンによる実名認証作業が必要となる。ともなれば、パソコンが必要な状況が常々あるユーザー以外は、スマートフォンだけでほぼ済ませようとするわけだ。もっとも、現状ゲームやECやオフィスなど、すべてのネットサービスで実名認証の画面は出るものの、その画面をキャンセルすることでネットサービスが利用できるというものもあり、厳密には管理されているわけではないようだ。ほとんどのアプリやネットサービスのユーザー登録において、中国の電話番号しか対応しておらず、中国のSIMカードを所有していないと登録できない。ある日網絡安全法により厳密に管理されるようになれば、あらゆる中国のネットサービスが利用できなくなるかもしれない。

中国サイバーセキュリティ法施行後の個人情報の扱いについて

ネット利用者がよく触れるものでは、微信の企業アカウント「微信公衆号」の一部アカウントが網絡安全法によって処罰されている。一部の微信公衆号を運営する企業が、事実と比べて大袈裟な「釣り記事」を出したり、ないしは暴力的、ポルノ的要素が強い記事を出したとして、「配信が禁止される情報を止めず、消去しない場合は関連当局が是正を命じる」という、網絡安全法第68条規定によって処罰を行っている。

網絡安全法の他の影響として、ネット利用者は気づくか気づかないレベルの変化だが、アプリの初回利用時の通知に変化が起きている。該当アプリについて、どんな個人情報を提供するかについてプライバシーポリシーを正しく書き、利用者に読ませた上で許可をとるようになった。またアプリで必要な機能について個人情報を収集することはできるが、それを超える範囲で個人情報を収集することについて取り締まられるようになった。例えば位置情報を使わないアプリで位置情報を取ると違法となる。

この背景として中国消費者協会が2018年11月に発表した、アプリの個人情報の扱いに関するレポート「100款App個人信息收集与隠私政策測評報告」が挙げられる。その中で「9割のアプリで過度に個人情報を収集している」と結論付けた。これを受けて、1月25日に中国政府公安部や情報産業省にあたる工業和信息化部は、網絡安全法をベースとした、アプリ運営と個人情報収集に関する通知「関于開展App違法違規収集使用箇人信息専項治理的公告」を発表している。同公告によれば、2019年の1月から12月までの間に、中国全土の組織が積極的に個人情報を過度に収集する違法業者の摘発を強化するとしている。

中国でアプリを展開する業者は、プライバシーポリシーや、初回登録時の利用者へのその表示方法を再度確認したい。また「位置情報/生物識別情報/金融系情報/電話帳データはそのアプリに本当に必要か」必要以上に個人情報を取っていないかを再確認すべきだ。



山谷 剛史

1976年東京都生まれ。中国アジアITジャーナリスト。
現地の情報を生々しく、日本人に読みやすくわかりやすくをモットーとし、中国やインドなどアジア諸国のIT事情をルポする。2002年より中国雲南省昆明を拠点とし、現地一般市民の状況を解説するIT記事や経済記事やトレンド記事を執筆講演。日本だけでなく中国の媒体でも多数記事を連載。