ICP Licenseが必須になった中国向けビジネス
2017年11月27日付で、中華人民共和国工業情報化部(MIIT: Ministry of Industry and Information Technology)は、中国におけるインターネットでのビジネスに関する重要な通達を出しました。
通達264号(Circular 264)です。
この通達の施行は、2018年1月1日となります。
この通達は、製造業、越境ECサイト、ホテル・旅館等、中国向けにインターネット上でビジネスを行っているサイトに大きな影響を与えます。
ICPとは
まず、中国向け配信で必須となる、ICP(Internet Content Provider)について理解する必要があります。
ICPとは、中国国内における、中国を拠点としたWebサイトを開設・配信に対する、中華人民共和国情報化部に対する許可です。
この許可制度は、2000年9月に公布された、中華人民共和国通信条例(The Telecommunications Regulations of the People's Republic of China)に定められて始まりました。
・中国国内でWebサイトを運営するサイトのドメイン名はICP登録しなければならない
・中国を本拠地とするISP(インターネットサービスプロバイダ)は、この登録がされていないWebサイトをブロックしなければならない
・この許可は、県単位で許可・発行される
このICPの登録を中国語では、Beianと言います。
そこで、ICP Beianという記載が、中国のサイトのフッターに記載されています。
これは法令によって、記載することが求められているためです。
ICP Licenseとは
上述の通り、中国国内で、中国企業がWebサイトを持つ場合に、必要なのが、ICP Beian(登録)です。
これとは別に、ICP Licenseというものがあります。
ICP Licenseとは、ECサイトや、通信サービスなど、中国国内で、インターネット上でビジネスを行う際に必要な許可です。
ISPやCDN(Content Delivery Network)、VPNのサービスを提供している企業は、ICP Licenseの取得が必須となります。
また、ECサイト、決済が発生するホテルなどのサイト、国民に情報を提供するニュースやメディアサイトなども、ICP Licenseの取得が必須となります。
サイバーセキュリティ法で何が変わったか?
このように、ICP登録及びICP Licenseは、あくまでも中国国内でのWebサイト開設やビジネスを対象とした制度でした。
これが、2017年6月1日に施行された、中華人民共和国サイバーセキュリティ法(Cybersecurity Law of the People's Republic of China)によって大きく様変わりしました。
実際には、関連する法律は、この法律を含めて、以下の4つがあります。
・中華人民共和国テロ対策法(Counterterrorism Law of the People's Republic of China)
・中華人民共和国サイバーセキュリティ法(Cybersecurity Law of the People's Republic of China)
・中華人民共和国インターネット情報サービス管理対策法(Administrative Measures for Internet Information Services)
・インターネットドメイン名管理のための対策法(Measures for the Administration of Internet Domain Names)
中華人民共和国サイバーセキュリティ法の目的は、市民の権利と利益を保護し、国家機密を防御し、ネットワークのセキュリティを増大させることで、さらなる経済発展を狙うものです。
日本では、「情報検閲」「締め付け」「情報管理」など、どちらかというとネガティブなイメージで報道されました。
しかし、つい先日のコインチェックによる仮想通貨NEMの流出による仮想通貨市場へのインパクトのように、セキュリティが経済市場に与える影響を考えれば、セキュリティを強化することは順当です。
海外でも、サイバーセキュリティ法は各国で施行されています。
日本でも、2016年にサイバーセキュリティ基本法が施行されています。
この流れは、世界的に一般的な動向なのです。
さて、このサイバーセキュリティ法で何が変わったでしょうか?
1. セキュリティ対策の強化・義務付け
この法律では、コンピュータネットワークの所有者、管理者、サービスプロバイダ(ネットワークオペレータ)は、コンピュータウィルスからの保護やセキュリティインシデントの記録など、いくつかのセキュリティ対策を適用する事を求めています。
公共通信、公共施設、金融等が必要とするネットワークを運営している、いかなる企業は追加して、国家機密を危険に晒す可能性のあるインフラと同等の、より厳しいセキュリティ管理体制とディザスタリカバリの確立が要求されます。
更に、中国において、ネットワーク製品やサービスを提供する企業は、関連のある国家機密管理要求に従う必要があります。
2. 通信・配信業者の限定化
この影響が真っ先に現れたのが、CDN各社です。
中国企業のCDN以外は、ICP Licenseが更新されませんでした。
現在、ICP Licenseを取得している34のCDNは、全て中国企業で、欧米系のCDNはライセンスを更新できていません。
中国国内のVPNサービスもICP Licenseを取得することが義務付けられ、中国国内のICP Licenseを取得したVPNサービス以外は、徐々に遮断されて、その対策は現在も進行中です。
ICP Licenseを海外企業が取得することは、ほぼ不可能に近いと思って下さい。
3. 中国国内インフラ利用にはICP登録を義務化
中国向けに海外からWebサイトのコンテンツを配信するために、中国のICP Licenseを持つCDNやデータセンターを利用する企業も、ICP登録が義務付けられました。
4. 中国国内に中国国民の個人情報保存を義務化
中国国民の個人情報を保持するサイトは、中国国内にサーバを用意して、そこに保存することが義務付けられました。
ECサイトや、ホテル・旅館、航空券販売サイト等、「ユーザ登録」が必要なサイトは、中国国内にサーバを用意して、そこに会員情報を保存しなければなりません。
通達264号で何が変わったのか?
それでは、2018年1月1日施行の通達264号で何が変わったのでしょうか?
ドメインのレジストラは、中華人民共和国工業情報化部のICP/IP/ドメイン名情報登録管理プラットフォームとの接続が義務付けられました。
全ての情報を共有するためです。
分かりやすくするために例えると、「お名前.com」のようなドメイン取得のサービスで持っているドメイン名と取得者の情報は、全て総務省や経産省のシステムに情報提供しなければいけない、という仕組みになったわけです。
これによって、ドメイン名を取得した個人の情報は、非公開設定にすることが出来なくなるわけです。
また、レジストラの登録情報と、中華人民共和国工業情報化部のICPプラットフォームの情報が異なるドメインについては、遮断する事が義務付けられました。
通達264号の対策
中国最大手のCDN、ChinaCacheによると、今後のために以下の事が推奨されています。
・ICPプラットフォームに登録されていないドメインについては、遮断が義務付けられているため、中国のレジストラで.cnドメインを取得する事。
・.cnのドメイン名を取得するために、法人登記か、外国法人の支店の登記を行う事。
・中国のインターネット上でビジネスを行う際には、ICP登録だけでは十分ではなく、ICP Licenseを取得した中国企業のインフラを利用する事。
・ビジネス上、中国の企業や個人の情報を扱う必要があるであろうから、中国国内にサーバを設置する事。
まとめ
「今は繋がっているから、大丈夫」と思っていてはいけません。
弊社のお客様である、大手企業は、昨年の秋には、この事態を見越して、現地法人をつくって、.cnのドメイン名を取得しているところもあります。
上述の対策を施していないWebサイトについては、いつ遮断されてもおかしくないのです。
世の中には、沢山のWebサイトが存在しているので、全てのサイトがチェックされて、上記ルールに適合しないサイトがすぐに遮断されるわけではありません。
しかし、ドメインレジストラの情報が提供されなければならず、且つ、ICPプラットフォームの登録情報と合致していないドメインは遮断できるようになったため、今回の規制による措置は機械的に行える点に注意して下さい。
Spelldataでは、大手法律事務所と提携して、中国の現地法人の設立や、外国法人の支店の登記から、ICP登録、ICP Licenseを持つChinaCacheのCDNやデータセンターなど、中国のインターネット上でビジネスをする際に必要なものをワンストップでご提供可能です。