中国政府は以前より通達していた情報セキュリティー製品に対する強制認証制度(CCC制度)の適用を,政府調達品に限った上で施行を2010年5月1日からに延期すると発表。併せて認証対象となる13品目に対する審査の実施規則と適用する技術標準規格も公表した。
CCC制度は,2002年に始まった中国の製品安全認証制度で,中国国内で販売・流通する製品について同国の技術標準に対する適合性を審査するもの。規制対象製品は,認証を取得しないと販売できない。これまでは電子機器などハードウエア製品が対象だったが,2008年にソフトウエアを含む情報セキュリティ製品を2009年5月から対象にするとの公告が公示された。これに対して日本や欧米の政府,経済団体が一斉に反発。撤回や修正を求めていた。「ソースコード開示を要求される」といった報道もあり,認証が知的財産の流出につながるのではないかとの懸念が広がったためである(Tech-On!関連記事)。ただし,その時点では実施規則が明らかになっておらず,どんな技術標準を参照するのか,実際にソースコードの開示が求められるかどうかといった点は不明だった。それでも海外の反発は強く,今回の実施延期と対象の限定は,それに考慮したものとみられる。
今回,対象が政府調達品だけに限定されたことで,当面の影響は限定的になったと見られる。「政府調達なので中国製品が中心になる」(CCC認証業務の支援などをしている未来文化商務)からだ。それでも「影響度は不明だがインパクトはある。中国政府には撤回を求めていく。情報漏洩の懸念とともに,従来のCCCと同様に作業負担が大きい」(経済産業省)と不安はくすぶっている。電子情報技術産業協会(JEITA)も「国際貿易の阻害要因となる」と強い懸念を示す。2009年6月7日に開催された日中両国の閣僚によるハイレベル経済対話でも,この問題が取り上げられたが,進展は見られなかった。
依然不明な情報開示の程度
実施規則が明示されたことで,審査の流れや守るべき技術標準規格は明らかになった。実施規則には,規制対象の13品目にそれぞれ提出すべき書類やサンプル,認証手続きの方法のほか,技術要求として中国の技術標準規格「GB/T」†や,中国国家認証認可監督管理委員会(CNCA)が策定した「CNCA/CTS」という技術基準が指定されている。だが,懸念事項である情報開示の度合いについては,実は依然としてはっきりしない。GB/TやCNCA/CTSは,ISOなどの国際標準に準拠したものもあるが,中国の独自規格も多い。特に,今回の13品目で指定されている技術要求は,いずれも相当する国際標準規格がない。「コモンクライテリア」と呼ばれる情報セキュリティの国際標準規格「ISO/IEC 15408」に準拠した中国の規格「GB/T18336」をベースとした中国独自の技術標準規格や基準が指定されているが,国際規格と完全には整合性が取れていないと思われる。しかも,GB/TやCNCA/CTSは,英文や日本文のものがなく中国語の原本を購入して精読してみないことには詳細も不明。具体的にどの程度の情報開示が求められるかは,その規格や基準の内容と規制当局の運用に依存し,規制が始まってみないと分からないという見方が多い。そもそも,ISO/IEC 15408でもセキュリティ機能の信頼度によっては取得の際に設計書やソースコードの提出が必要とされるため,今回のCCC適用でもソースコードや技術情報の開示を要求される可能性はある。ただし,ISO/IEC 15480はあくまで自主取得する規格なのに対し,CCCは強制規格であることが大きく違う点だ。
† GB/T 「推奨国家標準規格」と呼ばれる推奨規格。家電製品から衣類まで,多様な品目について規格を定めている。品目ごとに異なる規格番号が付与される。
CCC認証に詳しいUL Japan グローバルマーケットアクセス部 担当部長の藤倉雅秀氏は「ある程度の情報開示は避けられない」との見方を示す。これまでのハードウエア製品の認証では,回路図やブロック図などの提出が必要だったもののノウハウに関わるような情報は要求されなかった。しかし,ソフトウエアが中心の情報セキュリティ製品は,もう少し踏み込んだ情報が要求されるのではないかとの見解だ。
