中国政府は,一部報道にあったように情報セキュリティ製品を安全認証制度の対象に加える方針のようだ。FeliCaなどに搭載されているICチップ用OSやデータベースなどが規制対象に含まれており,認証を取得するためにソースコードの開示が求められる可能性もある。知的財産の侵害や情報漏洩などが懸念される。
この認証制度は,製品の安全性を保証する「強制認証制度」(CCC:China Compulsory Certification)と呼ばれるもので,対象製品は認証を取得しないと中国国内では販売できない。CCC制度そのものは2002年に導入されており,これまでは電気・電子機器を対象に物理的な安全性を認証するものだった。ところが,中国政府は2008年1月にソフトウエアを含む情報セキュリティ製品を新たな対象にするとの公告を公布した。具体的には,ファイヤーウォール,LANカードおよびスイッチングハブ,VPN,ルータ,インテリジェントカードおよびICチップ用OS,データバックアップおよびリストア用ソフトウエア,OS,データベースシステム,迷惑メール防止製品,不正アクセス侵入探知システム,ネットワーク監視システム,操作履歴やログの収集分析ツール,ファイル改ざん検知システム---の13品目が対象となり,2009年5月より施行するとしている。
ただし,品目や認証の詳細な内容は明らかになっておらず「現在,中国政府に具体的な対象製品や認証内容を問い合わせている」(経済産業省)状態。複写機や薄型テレビなどが対象になるかどうかや,ソースコードの開示義務があるかどうかは分かっていないという。しかし,情報セキュリティの国際規格「ISO 15408」では申請者が任意でソースコードを開示していることもあり,ソースコードの開示を義務付ける可能性はある。「ソフトウエアを対象とする世界でも類を見ない規制で,貿易への影響が懸念される」(経済産業省)として,経済産業省や業界団体は,欧米の政府や業界団体と協力して撤回や修正を求めていく姿勢を見せている。
