中国政府が、中国国内で販売しようとする情報セキュリティ製品に対して “CCC” と呼ばれる強制認証制度を適用し、ソースコードの開示をさせようとしました。日米欧などから撤回を求められるも、2010年5月に延期して政府調達に限り実施するようです。ソフト屋にとってはあり得ない状況です。
対象品目は何なのか
まず気になったのは、CCC 認証制度でソースコードの開示が強制される対象は何なのかという点。
例えば読売新聞は、「デジタル家電などの中核情報」としつつ、「非接触 IC カードやデジタル複写機、金融機関向けの現金自動預け払い機(ATM)システムなど、日本企業が得意な製品も幅広く開示対象になる可能性がある。」としています。
検索すると「デジタル家電」の文字が大量に並んでいて、家電と言われると万人に分かりやすいからそう書いているんでしょうが、本当にそんな広範囲の製品について情報開示を迫っているのか、にわかに信じがたかったので調べていると、次のような記事が。
Open Source News in China 中国 輸入情報セキュリティ製品にソースコード開示を要求
新たな認証制度の範囲はファイアーウォール、LANカード、スイッチングハブ、VPN、ICカードおよびICチップで利用するOS、データバックアップ及びソフトウェア,OSの復元、データベースシステム、スパム対策製品、不正アクセス検出システム、ネットワーク監視システム, 操作履歴記録およびログ解析ツール、ファイル改竄検知システムなど13種類の製品にわたり、2009年5月から実施開始される。
コピー機,フラットパネルテレビなどは認証目録に入るか否かおよびソースコードを要求されるか否かは、現在のところ判明していない。
情報セキュリティ製品群についてはもう決定していて、家電、オフィス機器はまだ判明していないと。
そもそも CCC って何なんだ
CCC (中国強制認証、China Compulsory Certification) というのは、日本語で強制というと脊髄反射で反発したくなるイメージがあるので、そこに引っかかる人も多そうです。実際には、ソースコードの開示だけさせるために作ったオレ制度というわけではなく、中国が人の健康と安全、動植物の生命と健康、環境保護、公共安全に影響のある製品について、対象品目を定め、出荷、輸入、販売の際に認証を受けることを義務づける制度のようです。
既存の対象品目としては、無線 LAN 機器、医療機器、玩具にタイヤと多岐に渡ります。CCC という制度を管理監督しているのが、CNCA (中国国家認証認可監督管理委員会) ですね。
これについては、CSAJ (社団法人コンピュータソフトウェア協会) の PDF が詳しいと。
CNCA って、日本で言うと、部分的には JATE ((電気通信端末機器審査協会)) の技術基準適合認定みたいなものなんでしょうかね。
対象機器にコピー機やテレビを入れるべきなのか
中国側のその CCC 対象品目に情報セキュリティ機器を追加し、認証の基準として中身が不明なものに対して認証できないからソースコードを開示せよ、というところなのでしょうか。まず安全やセキュリティがというなら、デジタル家電やデジタル複写機が入ってくるという論理は一見成り立たないように見えます。
おそらく中国側の本音としては、暗号化通信する可能性のあるものすべて対象に加えたいのだと思います。液晶テレビにもブラウザとネット接続機能がついているものがあるかもしれず、それは当然ショッピングサイトに接続するために SSL をサポートしているかもしれません。無線 LAN で通信する機能を搭載していれば、今時暗号化していない無線 LAN は短時間で解読されますから、当然 WPA, WPA2 をサポートしているでしょうし。しかし、CCC という制度上は説明が成り立たないと思います。
暗号テクノロジーの輸出規制の例
中国 CCC の話は、輸入と国内販売に対しての制度のようですが、セキュリティ技術の輸出に対して敏感になっている (いた) 国なら、他国に存在します。
例えば米国。かつて、128ビットの暗号化機能を持つ Web ブラウザは米国から輸出できませんでした。暗号を使用した製品は武器と同等と見なされたからです。
国家安全保障上、国家自身が解読できない技術を、国外に持ち出してテロリストに使ってほしくないと。米国はインターネットに関しては当然ながら他国に対して技術的なアドバンテージはあるわけで、それを外に出したくない思惑も、もちろんあるでしょう。ただ、この 128 ビット規制は 2000年1月14日に緩和されています。中国の例は、逆に解読できない技術を持ち込むな、という話ですね。
自国の安全や産業を守るための保護政策は、関税引き上げのようなものも含めると珍しくはありません。CCC の対象品目に情報セキュリティ機器を含めること自体は、それほど奇異ではありません。問題は認証の手段として、なんでソースコードの開示などという手段を取ることになったのか、ですね。
つづく。
中国ならではの規制をしようってことですよね。
外資規制ともいえるのでは?
今は世界同時金融危機だし、世界中が中国の内需に期待していることをわかっている上でこういうことを言ってくるあたり、さすが中国ですね。まだまだグローバルの共通意識を満たさない国です。
欧米で認められたいなら、まずは自国を改革しなくてはね。
こんなこと言われるくらいなら、売らなくていいと思います。ほんと。
おまえの国の商品の機密を開示しろなんて、何の権利があって言えるの?ってかんじ。です
やっぱり途上国なんですねえ・・・
CCC 制度のモチベーション自体は、自転車や玩具に SG マークつけるのと大差ないけど、その場所 (制度) にその認定方法をくっつけるのは力技すぎないか、という組合せのねじれを感じます。
続き書いときました。
http://www.nire.com/2009/05/china-source-code-disclosure-part2/