2023 年 5 月 24 日に、改正された『商用暗号管理条例』(以下『条例』)が正式に公布され、2023 年 7 月 1 日より正式に施行されます。今回の改正は、1999年の条例公布以来初の大規模な改正ということもあり、企業のビジネス業務における暗号の使用に大きな影響を与えるものとなっています。本稿では、日本企業の皆様の参考となるよう、その要点を簡単に紹介いたします。
1.商用暗号の概念・範囲の新たな定義
1999 年の『商用暗号管理条例』により、商用暗号は国家機密に属すると規定されていましたが、新『条例』は新『暗号法』に準拠し、商用暗号は国家秘密に属さない情報の暗号化保護、セキュリティ認証を行うと規定しました。つまり、商用秘密技術は、もはや国家秘密には属さず、国家秘密管理体制にも属さないということになります。(第2条)
ちなみに、私たちが日常生活で使用している、銀行キャッシュカードに内蔵されている金融チップ、さまざまなアプリの認証パスワード、電子署名身分認証キーなどは、すべて商用暗号化のカテゴリーに属しているものです。
2.一部の商用暗号のテスト・認証
原則として、商用暗号テストおよび認証を受けるかどうかは企業が自主的に選択します。 ただし、国家安全、国家経済と民生、公共の利益に関連する商用暗号化製品および技術については例外となっており、必ず資格ある機関によるテスト・認証を受けてから販売または提供することができます。(第12条、第20条)
実務では、『ネットワーク重要機器とネットワークセキュリティ専用製品カタログ』を参考にし、商用暗号が強制的なテスト、認証の範囲に含まれているかどうかを初期段階で確認しておくことができるでしょう。
3.商用暗号の輸出入制限
従来は、暗号技術を含む暗号製品・設備の輸入や暗号製品の輸出には、国家暗号管理機構の認可を得ることが必要でした。今回、「認可制」から「リスト制」へ変更されたことによって、商用暗号製品・設備のすべての輸出入を認可する必要はなくなり、『商用暗号輸入許可リスト』『商用暗号輸出管理リスト』の商用暗号のみが個別に輸出入許可を取得する必要があるということになりました。例えば、暗号化電話機、暗号化ファックス、暗号化VPN機器及び暗号機器を輸入する場合は、輸入許可証を申請する必要があります。セキュリティチップ、量子暗号装置、暗号テスト装置を輸出する場合も、個別に許可を得ることが必要です。
◆日本企業へのアドバイス
ビッグデータ、クラウドコンピューティング、ブロックチェーン、AIなどの技術の変化に伴い、ビジネス分野での暗号使用がますます盛んになっており、例として、一般的によく見られる電子契約や、電子印鑑、電子政務、金融などの分野においても、商用暗号が広く活用されるようになりました。各日系企業においても、まず商用暗号の輸出入リストを適時把握し、関連許可を得た上で輸出入業務を進めることが必要となっています。
そのため、商用暗号化製品、機器、システムを選択する際には、事前に地元の弁護士や専門家を通して、商用暗号化製品を提供する企業の資格や信用、テストや認証を受けているかどうかの調査・評価を行い、合法かつコンプライアンスに準拠したものを選択することができます。これは、情報漏洩などの不要な損害が発生するのを避ける効果的な方法であるといえるでしょう。