ルール形成戦略議員連盟の事務局長として、標記の提言を作成し取りまとめ致しました。ご一読頂けましたら幸甚です。
〜・〜・〜・〜・〜・〜・〜・〜 ・〜・〜・〜・〜・〜・〜・〜
提言『経済安全保障上の脅威が懸念される外国製アプリ・システムへの対応について』
日本社会、経済に安全保障上の脅威となり得る外国製のITシステム・サービス等が浸透している。地方銀行で広がるAI搭載の基幹系業務システム、新型コロナ診断を支援するAIによるCT画像解析プログラム、監視技術を応用した空港・港湾など重要インフラの保安検査システム、そしてスーパーアプリや動画投稿・ビデオ会議アプリなど、既に国内で普及が進んでいる一方、外国政府当局またはその支配が及ぶ組織・個人による、個人情報(氏名、電話番号・識別番号はもとより顔をはじめとする多様な生体、位置、生活・経済、思考等)や企業情報の収集さらに監視や操作、意思決定の潜在的な誘導といった安全保障上の脅威が危惧される。
特に、中国政府が2017年6月施行した「国家情報法」は、国家の安全保障と利益のため国内外の組織・個人による情報工作活動への協力の義務化を法制化し、かかる懸念はより切迫したものとなっている。さらに中国は国民監視及び検閲への協力を外国企業に強要するほか、この監視システムを国際標準にする戦略に挑んでいる。「国家情報法」と同時に施行した「サイバーセキュリティ法」では、データの中国国内での管理を義務付け、また自国の技術規格を国際標準化させる「中国標準2035」を2021年に向け策定するとともに、中国はITU(国際電気通信連合)においてインターネット監視が可能と考えられるファーウェイ考案の新IP(インターネット・プロトコル)への変更を提案、スマートシティ分野ではISO(国際標準化機構)ならびにIEO(国際電気標準会議)へ住民監視システムを実体化する国際規格を提案中である。さらに9月8日、中国は自国のデータを管理する権限の尊重と併せて「通信関連製品にバックドア機能を付けない」旨の国際ルールの策定を提唱した。
こうした動きに対し、米国は自国ネットワークから価値観の異なる中国企業の排除を進め、基本的価値を共有する国・企業からなるクリーンなネットワーク形成を呼びかけ始めた。米・ポンペオ国務長官は4月、5Gクリーンパス(信頼性のないITベンダーの国務省システムからの排除)を発表。その後、信頼できる国・キャリアを例示し、8月には“自由を愛するすべての国と企業にクリーンな通信網”への参加を呼びかけ「クリーンネットワーク」を提唱し、クリーンキャリア(通信事業者)、クリーンストア(中国アプリを米国アプリストアから排除)、クリーンApps(米国アプリを組入れさせない)、クリーンクラウド(中国企業クラウドからのアクセス保護)、クリーンケーブル(海底ケーブルへの不正アクセス禁止)の実現に動き出した。
殊、バイトダンス社の動画投稿アプリ“TikTok”を巡っては、米・トランプ大統領はバイトダンスと米国人・米国企業との取引禁止の大統領令に署名、上下両院は政府職員による利用禁止法案を可決、クラック国務次官は「子どもたちがスパイ活動をされる可能性があり非常に危険」と指摘し、TikTokと同機能のアプリ“Triller”“Reels”等へ代替が始まっている。オーストラリア、インド、台湾(中国共産党から偽情報工作のプラットフォームの懸念から政府・軍関係者の中国製アプリ使用禁止を通達)でも利用制限、EUでは 6月TikTokが「虚偽情報に関する行動規範」に署名した。尚、トランプ大統領の取引禁止令は対話アプリ“ウィチャット”を運営するテンセント社も含まれる。
折しもコロナ禍での非接触型のデジタル技術の活用を加速させるデジタル・トランスフォーメーションは、データ駆動型ネットワーク社会への加速を促す。経済安全保障上の懸念を払拭し、国民が安心してITシステム・サービスを活用できる環境を整えることが緊要である。同時に、2019年G20大阪サミットにて米中からも賛同のもとDFFT(信頼性のある自由なデータ流通)を標榜した我が国として、米中のサイバー空間の分断を回避すべく、公共の安全と個人情報・プライバシー保護に係るデータ利活用の整合性につき、データガバナンスの議論を主導していくべきである。
以上を鑑み、提言する。
(1) 日本政府が利用するITシステム・サービス等について安全性を確保するとともに、米国ネットワークとの連携を維持するために、NIST(米国標準技術研究所)のガイドラインSP800-171と同等のサプライチェーンリスク対策およびサイバーセキュリティ基準を求める。さらに国民生活や経済活動の維持に重要な役割を果たす民間企業等においても、政府の取り組みを参考に、利用するITシステム・サービス等の安全性・信頼性確保に取り組むことを希求する。
(2) 中国・国家情報法によるデータの強制移転が危惧されるアプリ等については、日本の利用者が安心して従前通り利用できる環境を整えることが大原則である。かかる観点から、中国と関係するアプリ提供者(組織・個人)は、利用者データの取り扱い等に関し、国家情報法を含めどのような外国法令が適用されるかを利用者との契約や利用規約において、明確にすべきと考える。
あわせて利用者の同意のない目的外のデータの利用・移転やシステムの運用があったかどうかを検証する必要がある。問題事例に対応するため、各国のインテリジェンス機関と情報を共有し、NSS(国家安全保障局)、NISC(内閣サイバーセキュリティセンター)、個人情報保護委員会、総務省、経済産業省等の関係機関が連携して、技術検証・情報収集・調査等を立入検査も含め行える仕組みを作るべきである。
(3) 日米欧側からも中国市場へのアクセスを可能とするデータオーナーシップやシステム運用の基準について、日米欧中が共有できる価値観レベルを設計しなければ、サイバー空間を中心に世界は分断することになろう。DFFTの概念のもと、デジタル時代のルール形成の時間軸を我が国が主導し訴求すべきである。
結びに、データおよびITシステム・サービスに係る経済安全保障課題に対するインテリジェンスの重要性を国民へ理解が広がるよう努めなければならない。