中国政府が2009年5月に施行する予定の「ITセキュリティー製品の強制認証制度」が物議を醸している。
この新制度は、外国企業が製造するIT製品のセキュリティー機能の適切性・確実性を中国政府が審査し、それに合格した製品を認証するというもの。逆に不合格の場合、その製品を中国国内で販売することができないし、現地生産も許されない。審査対象となるIT製品は、「ファイアウオール」や「ICカード」「基本ソフト」「データベース」「ルータ」など13項目にわたる。
ソースコード開示まで要求?この制度が日本などで波紋を呼んでいるのは、中国政府が各種IT製品のソースコードまで開示を求める可能性があるためだ。ソースコードは製品の詳細設計を記した情報なので、仮にその開示を強制されれば、日本企業の知的財産が中国企業に漏れたり、中国政府の諜報活動に利用されるのではないか、との憶測を呼んでいるのだ。
中国・国家認証認可監督管理委員会が強制認証制度を公告したのは08年1月だが、これが日本の新聞などで大きく報じられたのは9月になってから。その際、「同制度は外国製IT製品のソースコードの開示を強制する」と断定的に報じるケースが多かったが、それは誤りだ。あくまで、「その可能性もある」にすぎない。
こうしたITセキュリティーの評価認証は、実は日本を始め世界各国で実施されている。ただし、それは「強制」ではなく「任意」だ。つまり、認証を受けたい企業が、各国のセキュリティー審査機関による審査を受ければよい。しかし中国は、外国企業に「強制」したため、要らぬ憶測を呼んでいるともいえる。さらに、中国政府が指定した審査機関には、中国公安部の下部組織も含まれているなど、外国の政府・企業に勘ぐられても仕方がない面もある。
また、世界各国で実施されているITセキュリティー審査では、「ソースコードの開示」まで踏み込むケースはむしろ少ない。IT製品のセキュリティー評価の国際標準「ISO/IEC15408」(別名:コモン・クライテリア)では、審査のレベル「EAL」を7段階に分類している。このうち、例えばEAL1〜2では各種IT製品の「マニュアル」や「機能仕様」など、必ずしも機密とはいえない情報の開示にとどまっている。
世界各国の審査では、開示はまれこれに続くEAL3が「詳細な設計仕様」、EAL4が「実装ソースコード」の開示まで求めているが、ここまでの審査が実施された事例は少ない。例えば、05年にマイクロソフトの「ウィンドウズ」がEAL4をパスし話題となったが、逆に見れば、この件はそれほどまれな出来事といえる。つまり世界各国の審査では、「ソースコードの開示」まで踏み込まなくても、セキュリティーは認証されてきたのだ。
したがって、仮に中国の強制認証制度がEAL4レベルまで外国企業に求めれば、それは本当に「セキュリティー確保」以外の目的と思われても仕方がない。日本の経済産業省・商務情報政策局・情報セキュリティー政策室・室長の三角育生さんは、「同制度に関し、現時点で明らかになっているのは、中国政府が今年1月に公告した文書だけ。この内容は(審査のレベルなど)わかりにくいので、中国政府に対し、我々が理解できる形の説明を求めている。最終的に、二国間の貿易障壁になることがないよう、中国政府の対応を求めて行く」と語る。
正確な情報開示が中国政府の急務といえるだろう。(KDDI総研・リサーチフェロー、小林雅一/2008年11月22日発売「YOMIURI PC」2009年1月号から)