出典:Aleksandr Grechanyuk(Shutterstock経由)
中国の国家オンラインIDサービスが今月初めに施行され、民間企業によるデータ収集量を減らすことでユーザープライバシーの向上を約束していますが、プライバシーやデジタル権利の活動家たちは、市民のオンライン生活に対する政府の統制が強まるとして引き続き批判しています。
国家オンライン身分認証公共サービスとして知られるこの政府管理のデジタルIDシステムは、市民が公式な政府書類を提出して登録し、その後インターネットサービスから情報を保護し、全体的な情報の痕跡を減らすことを可能にします。このサービスは現在、ユーザーには任意ですが、企業には義務付けられており、法律で別途求められない限り、このサービスを利用する人々から身分情報を収集してはなりません。
表面的には、この規制はインターネット利用者に対し、政府が保有する身分データの集中管理リポジトリを提供し、民間企業による不統一な取り扱いを防ぐものだと、北京を拠点とする政策コンサルタント会社Trivium Chinaのパートナー、ケンドラ・シェーファー氏は述べています。
「基本的には、データの保有者が変わるだけです」と彼女は言います。「ユーザーはこれまで、各ウェブサイトにログインするたびにID情報を入力する必要がありました。…そのデータの収集者、例えばプラットフォーム自体が、適切に暗号化し、検証のために国家に適切に送信する責任がありました。…それが今、ある意味で排除されつつあります。」
より多くの国が、現実世界の身元とオンライン上の人格を結びつけるデジタルIDシステムを作るための規制を採用しています。例えば2024年、オーストラリアは2024年デジタルID法を採択し、政府のデジタルIDを拡張し、民間部門の参加を認め、プライバシー保護を拡大しました。シンガポールは長年、デジタルID「SingPass」を持ち、エストニアのデジタル政府システムをモデルに、市民が政府サービスと取引できるようにしています。
しかし中国のアプローチは、データセキュリティとプライバシーの名の下に政府による監視が強化されるのではないかという大きな懸念を呼んでいます。これらの措置にはプライバシーや通知条項が含まれていますが、多くの例外規定により、当局が通知なしに個人データへ容易にアクセスできると、中国人権擁護者ネットワーク(CHRD)(中国国内外の人権活動家・団体による非政府組織)および国際NGO「Article 19」による分析で指摘されています。
新しいインターネットIDシステムはプライバシー保護のためではなく、国家の監視インフラを強化するためのものだと、CHRDの研究者シェーン・イー氏は述べています。
「このシステムはデジタルIDに対する統制をさらに集中させます」と彼は言います。「当局がウェブ証明書を取り消せば、オンライン上の存在を完全に消し去ることができるのです。これは、以前のシステムでは一つのプラットフォームから追放されても他のプラットフォームにはアクセスできたのに比べ、大きなエスカレーションです。」
政府流のプライバシー
インターネットID番号、またはネットワーク番号は、市民のデジタルIDの認証を中央集権化することに重点を置いています。中国政府は実名認証を義務付けており、このプロセスが多くのオンラインサービスに分散しているため、データセキュリティ上の問題を引き起こす可能性があります。新たな措置(翻訳)の下では、2025年7月15日に施行され、市民がデジタルIDを利用する場合、インターネットプラットフォームは本名情報を保存してはならないと中国の規定は定めています。
「インターネットプラットフォームが公共サービスにアクセスし、ユーザーがネットワーク番号またはネットワーク証明書を用いて登録・実名認証を行い、認証に合格した場合、インターネットプラットフォームは、法律や行政規則で別途定められている場合やユーザーが提供に同意した場合を除き、ユーザーに明示的な身分情報の別途提供を要求してはならない」と規定されています。
公共サービスプラットフォームは、ユーザーデータを国内に保存しなければならず、海外に保存する必要がある場合は、徹底したセキュリティ評価を行う必要があります。
中国当局は、このアプローチが市民のプライバシー向上にも寄与すると主張しています。中国・重慶の西南政法大学のリン・ウェイ学長は、バーチャルIDサービスを採用した67のサイトやアプリケーションが収集する個人情報が89%減少したと述べています。この学者の記事は中国公安省によって掲載されたと報じられています。
監視への懸念が広がる
中国政府は、システムの構築方法やデータの不正利用から守るための方針について詳細を明らかにしていないとイー氏は述べています。しかし、デジタル権利活動家にとって危険性は明白です。
「このパターンは明白です——一方の手で救済を約束しながら、もう一方の手で監視の抜け道を作る」と彼は言います。「活動家を『転覆』で投獄する同じ政府が、曖昧な『機密』の例外規定の下でデジタル生活を密かに監視できるのであれば、それはプライバシー保護ではなく、ユーザーの権利を装った大規模監視です。」
これらの認証措置が市民のオンライン活動に対する監督強化につながるかどうかは、今後の政府の行動や見方によると、Triviumのシェーファー氏は述べています。
「国家レベル、そして正直なところ多くの市民から見ても、政府の役割は私と私のデータをハッカーやマーケターから守ることだという認識があります」と彼女は言います。「政府は都合よくその方程式から自分自身を除外していますが、政府には本当に『データの守護者』という認識があり、それはつまり、ある意味でそのデータにアクセスできるということです。」
翻訳元: https://www.darkreading.com/cyber-risk/china-introduces-national-cyber-id-privacy-concerns