中国サイバーセキュリティ法改正に伴う米国・イスラエル製品利用禁止の衝撃
多くの日本企業がグローバル標準として採用しているIT製品が、中国市場において「排除すべきリスク」へと変貌しようとしています。
これまで中国ビジネスにおけるIT課題といえば、処理能力や通信速度などの性能面が中心でした。しかし、2026年1月1日に施行された改正中国サイバーセキュリティ法(改正CSL)は、それらとは次元の異なる衝撃を企業に突きつけています。それは、あわせて中国政府から国内企業に向けて提示された通達により、「米国・イスラエル由来のIT技術の実質的な使用禁止」が指示されたと考えられるためです。
もし、中国拠点でこれらの製品を利用しているなら、事業継続が脅かされる可能性があります。なぜ、国際標準に準拠した高品質な製品を使うことがリスクになるのか。そして、この「サイバー空間のデカップリング」を法的に裏付ける改正とはどのようなものなのか。その法的根拠となる改正の全体像やこれからどう対応していけばよいのかを解説します。
中国サイバーセキュリティ法改正は「管理」から「責任の厳格化」へ
今回の中国サイバーセキュリティ法の改正における最大の特徴は、これまで努力義務や推奨レベルに留まっていたIT国産化が、「安全審査」という法的フィルターを通すことで、実質的な強制執行フェーズに入ったことです。
従来の法運用では、問題発生時に当局から是正指導が入る「管理強化」が主眼でした。しかし改正後は、調達段階で安全認証・安全検査を受けていない不適切な製品を選定すること自体が処罰対象となる「責任の厳格化」へとフェーズが移行しています。特に注視すべきは、重要情報インフラ運営者(CIIO)だけでなく、そのサプライチェーンを構成する製品供給企業に対しても、一定の安全確保義務が課される点です。
報道によると、法改正とあわせて中国政府から企業向けに提示された内部通達(いわゆる「79文書」)には、米国とイスラエルの特定企業のサイバーセキュリティ製品の使用を禁じ、2026年上期末までに国産の代替技術に置き換えることが求められているとされています。
これは、単にファイアウォールを一つ買い替えれば済む話ではありません。企業は、コンプライアンス(法令順守)の枠を超え、「エコシステムの転換」という経営判断を迫られています。すなわち、長年慣れ親しんだ欧米主導の技術基盤を捨て、チップからOS、データベースに至るまで、システム全体を根底から中国国産の技術基盤に載せ替える覚悟が問われています。
なぜ特定のIT製品を使用禁止とするのか
中国当局が製品選定において最重要視しているキーワードは、「安全かつ制御可能」です。これはマシンスペックや機能の優劣ではありません。「供給が政治的理由で断絶されないか」という政治的信頼性の問題です。ではなぜ米国やイスラエルのIT製品がとくに警戒の対象になるのでしょうか。
まず米国に対しては、「キルスイッチ」のリスクが議論されています。
中国が強く懸念しているのは、有事の際に米国政府が制裁を発動し、中国国内のインフラで使用されている米国製製品のアップデート停止やサポート停止が起こる可能性です。これを防ぐため、インフラの根幹から米国技術への依存を排除しようとしていると考えられます。
また、イスラエル製品に対しては、「バックドア」のリスクが指摘されています。イスラエルは世界最高峰のサイバー技術を持つ一方で、軍事・諜報面で米国と極めて強固な同盟関係にあります。中国の安全保障上の議論では、イスラエル製品を使用することを「米国の諜報機関にデータを覗き見られる穴を開けること(アメリカへのバックドア)」とみなし、排除の優先順位が高くなっていると考えられます。
対象となる製品群はなにか
中国政府が推進するIT国産化(信創)のターゲットは広範囲に及びます。最終的にはOS、データベース、チップといったITインフラの根幹そのものが対象となりますが、中でも今すぐ致命的な「レッドゾーン」となるのが、ファイアウォール(FW)・VPN、EDRなど「ネットワークの出入り口」と「端末制御」を担う製品群です。
これらは企業の防御の要ですが、中国当局から見れば「通信の制御権」や「機微データの閲覧権」を握る存在です。そのため、これらセキュリティ製品は「安全かつ制御可能」であることが強く求められており、海外ベンダー製品に依存し続けることは、改正法の施行後は調達や運用の面でリスクが高まる可能性があります。
前述した中国政府の内部通達や実際の「ネットワーク安全審査」の運用状況、そして政府調達リストの傾向などを踏まえると、以下の海外ベンダーが実質的な排除対象として特定・推測されています。
当局から公式に排除を受けた企業
すでに実例が存在します。2023年5月、中国サイバー空間管理局(CAC)が「ネットワーク安全審査で重大なセキュリティリスクが見つかった」として、重要情報インフラ事業者による調達を公式に禁止しました。
| 国 | 製品カテゴリ | メーカー名 |
|---|---|---|
| 米国 | 半導体 | Micron Technology |
政府内部通達や調達ガイドラインで「名指し/対象」とされた企業
公式発表ではありませんが、The Wall Street JournalやFinancial Timesなどの有力メディアが、政府の内部文書(79号文書など)や調達ガイドラインに基づいて報じている企業です。
| 国 | 製品カテゴリ | メーカー名 |
|---|---|---|
| 米国 | 通信・FW | Cisco Systems |
| Palo Alto Networks | ||
| Fortinet | ||
| ソフトウェア・OS | Microsoft | |
| Oracle | ||
| ハードウェア・チップ | Intel | |
| AMD | ||
| Dell | ||
| HP | ||
| セキュリティ | CrowdStrike | |
| Rapid7 | ||
| イスラエル | 通信・FW | Check Point Software Technologies |
| Cato Networks | ||
| セキュリティ | CyberArk | |
| Orca Security |
製品の特性上、「審査に通らない」企業
名指しの報道がなくても、製品のアーキテクチャや中国の法規制(改正CSL/反スパイ法)と矛盾するため、実質的に排除対象と想定できます。
| 国 | 製品カテゴリ | メーカー名 |
|---|---|---|
| 米国 | ソフトウェア・OS | Salesforce |
| セキュリティ | Symantec | |
| Trellix |
上記のような企業の製品を使い続けるリスクは、「ある日突然、中国拠点のネットワークが遮断される」という運用トラブルだけではありません。より恐ろしいのは、当局の抜き打ち検査やインシデント発生時に、「不適切な製品を使用し続け、安全確保義務を怠った」として処罰の対象になることです。
罰則も厳格化
今回の改正案では、これまでの「100万元(約2,000万円)」程度の罰金とは次元の異なる、極めて厳しいペナルティが規定されました。
- 最大罰金:1,000万元(約2億円)
- 重要情報インフラの主要機能喪失など、特に重大な危害を発生させた場合、最大1,000万元の罰金が科されます。さらに、担当した直接の責任者個人に対しても最大100万元(約2,000万円)の罰金が科されるなど、個人の法的リスクも極めて高くなっています。
- 是正命令:製品撤去や業務停止命令など
- 罰金を払えば済む話ではありません。「製品撤去」を命じられれば、代替品がない限り業務の継続が困難になり、結果としてサプライチェーン全体に深刻な損害を与えるおそれがあります。
日本企業は対象となるか
多くの日本企業が「我々は電力会社や銀行といった重要インフラ運営者(CIIO)ではないから、そこまで厳しくないだろう」と考えるのではないかと推測しますが、その楽観的な認識は直ちに改める必要があります。
1. 中国に拠点を持つ組織(ユーザー企業)
まず中国に拠点のある組織は、対象となる可能性が高いでしょう。当局によるCIIOの定義は拡大解釈されており、一般的に重要インフラとして認識されているエネルギーや金融だけでなく、「大量の個人情報を扱う小売業」や「重要データ(設計図や生産プロセス等)を持つ製造業」もターゲットになり得ます。
仮にCIIOに指定されなくとも、中国のセキュリティ等級保護制度(MLPS:Multi-Level Protection Scheme)において3級以上に該当すれば、事実上、CIIOと同等の厳しい製品調達規制が課されます。MLPSは、中国国内の全ネットワークシステムを重要度で格付けする制度ですが、3級は「事故が起きると社会秩序や公共の利益に害を及ぼす」段階と定義されます。このレベルに認定されると、導入するIT製品に対して「安全かつ制御可能」であるかの厳格な審査が義務付けられます。つまり、「自社システムが3級になる=海外ベンダー製品が審査で通らなくなる」という図式が成立してしまうのです。
2. 中国市場に製品を供給している組織(ベンダー企業)
中国に拠点がなくとも、製品を輸出・販売している企業も対岸の火事ではありません。貴社の顧客(中国企業)がCIIOや3級のシステムを運用している場合、貴社の製品は「サプライチェーン審査」の対象となります。もし、納入製品の中に「米国製の暗号モジュール」や「特定の米国製OSS」が組み込まれていれば、それがセキュリティホールと見なされ、「中国のインフラを脅かす製品」として排除される可能性があります。
日本企業は何をすべきか
では、対象となる日本企業は、この不可逆的な流れにどう対抗すべきでしょうか。有力な対応策は、これまで効率化のために推進してきた「グローバル・ワン・ポリシー」を見直すことです。
中国に拠点のある組織は、ネットワークを完全分離するサイバーデカップリングが必要です。中国のネットワーク環境は、もはやインターネットの一部ではなく、独自のルールで動く「巨大なイントラネット(スプリンターネット)」と捉えるべきです。
グローバル共通のネットワークと、中国拠点のネットワークを物理的、または論理的に切り離す構成へ移行します。中国拠点内は、当局が推奨する「深信服(Sangfor)」や「奇安信(Qi-AnXin)」などのローカル製品でシステムを再構築し、コンプライアンスを遵守します。その上で、日本本社との通信ポイントだけを厳格に管理されたゲートウェイ経由で行うハイブリッド構成を検討しましょう。
また、中国に製品を供給している組織は、「中国専用モデル」の開発を検討せざるを得ません。グローバルモデルから、排除対象となる米国・イスラエル等由来の技術要素を排除し、代わりに中国の国家暗号標準(SMシリーズ)に対応させた「中国ローカライズ版」を用意する必要があります。これは二重投資となりコストがかかりますが、巨大な中国市場を失わないための投資と考えましょう。
では、対象企業はいつまでに対応しなければならないのでしょうか。その与えられた猶予期間は、改正CSL施行からわずか6か月後の2026年6月までです。以下のスケジュールのように、中国は2026年6月末を米国・イスラエル製の製品特定および(中国)国産技術へのリプレース完了期限として設定しております。
図 中国サイバーセキュリティ法改正の経緯と時系列
終わりに
米国と中国の間で続いてきた輸出規制の応酬は、ついにサイバー空間のインフラ選定にまで波及しました。これは一過性の嵐ではなく、不可逆的な構造変化だと言えます。
「中国でも米国製品を使いたい」という現場の希望を通そうとすれば、それは経営にとって大きなリスクを抱えることになります。経営層は、この問題を単なるIT機器の選定という技術論ではなく、企業の存続に関わる「地政学リスク」として捉えるべきです。
まずは自社の中国拠点で稼働しているハードウェア/ソフトウェアの「ベンダー国籍」の棚卸しと、中国だけをセキュリティポリシーの例外とする「特区規定」の策定から始めてみませんか?
