『ネットワーク安全審査弁法』が 2020年6月1日より施行効

『ネットワーク製品・サービス安全審査弁法』は2017年より施行されてから、実務上の諸問題が顕在化している。例えば、ネットワーク安全審査を行う主要な義務者はネットワーク製品・サービスの提供者であると規定されたが、多くの提供者が運営者ではないので、提供者を義務主体とすることは適切ではなく、実行性もない。これに鑑み、2020年4月13日、国家インターネット情報弁公室が他の11部門と共同で『ネットワーク安全審査弁法』(下称『弁法』という)を公布した。『弁法』の主要な内容は以下の通りである。

1、ネットワーク製品サービス安全審査の義務者は提供者から運営者に変更された。

『弁法』第2条によると、インターネット製品・サービスを購入する重要な情報インフラ運営者が義務者である。その主要な義務は以下の通りである。

(1)購入の対象となる製品・サービスの使用により国の安全を脅かす可能性のあるリスクを評価し、評価結果に基づいてネットワーク安全審査弁公室に対しネットワーク安全審査を申告する。今後、評価の基準とガイドラインは公布される見込み。

(2)評価の上、購入に対してネットワーク安全審査を申告する必要がある場合は、購入協議書において「ネットワーク安全審査に協力してもらう」ための特別条項を設定すべきである。具体的に言うと、製品・サービスの提供者に対し、製品・サービスの提供上の便宜を利用してユーザーのデータを不法に獲得しないこと、ユーザーの設備を不法に制御・操縦しないこと、正当な理由なく製品供給又は必要な技術サポートサービスを中断しないことなどを承諾させる。

(3)審査申請手続を行う。

(4)製品・サービスの提供者に対し、ネットワーク安全審査における承諾を履行させるよう督促する。

2、具体的な審査手続を明確にした。

(1)運営者による申告。

(2)ネットワーク安全審査弁公室がネットワーク安全審査の要否を判断する。

(3)ネットワーク安全審査が必要であると判断された場合、ネットワーク安全審査弁公室が初歩的審査を行う。

(4)初歩審査の結論について、ネットワーク安全審査弁公室がネットワーク安全審査仕組みのメンバーとなる組織及び重要な情報インフラの保護部門に意見を求める。

(5)ネットワーク安全審査仕組みのメンバーとなる組織及び重要な情報インフラの保護部門が初歩審査の結論に異議を申し立てない場合は、運営者に通知する。異議を申し立てる場合は、特別審査手続を行う。つまり、再審査を行い、手続に従い中央ネットワーク安全・情報化委員会に報告して認可を求める。

3、ネットワーク安全審査の重点を明確にした。

(1)製品・サービスの使用により重要な情報インフラが不法に制御され、干渉や破壊により、重要なデータが窃取、漏洩、毀損されるリスク。

(2)製品・サービスの供給中断により重要な情報インフラの運営が被る連続的な危害。

(3)製品・サービスの安全性、開放性、透明性、出所の多様性、供給ルートの信頼性、政治・外交・貿易などによる供給中断のリスク。