2008-10-21 10:07:14克理斯 在 Internet!

中國進口規定的資訊安全產品進口擁有認證義務,並公開源代碼


據 日經 BP 的相關報導中,有對中國於資訊安全方面相關產品的要求。

 

中国,セキュリティ製品の輸入に認証義務付け---ソースコードの開示も要求か

中国政府は,一部報道にあったように情報セキュリティ製品を安全認証制度の対象に加える方針のようだ。FeliCaなどに搭載されているICチップ用OSやデータベースなどが規制対象に含まれており,認証を取得するためにソースコードの開示が求められる可能性もある。知的財産の侵害や情報漏洩などが懸念される。

 この認証制度は,製品の安全性を保証する「強制認証制度」(CCC:China Compulsory Certification)と呼ばれるもので,対象製品は認証を取得しないと中国国内では販売できない。CCC制度そのものは2002年に導入されており,これまでは電気・電子機器を対象に物理的な安全性を認証するものだった。ところが,中国政府は2008年1月にソフトウエアを含む情報セキュリティ製品を新たな対象にするとの公告を公布した。具体的には,ファイヤーウォール,LANカードおよびスイッチングハブ,VPN,ルータ,インテリジェントカードおよびICチップ用OS,データバックアップおよびリストア用ソフトウエア,OS,データベースシステム,迷惑メール防止製品,不正アクセス侵入探知システム,ネットワーク監視システム,操作履歴やログの収集分析ツール,ファイル改ざん検知システム---の13品目が対象となり,2009年5月より施行するとしている。

 ただし,品目や認証の詳細な内容は明らかになっておらず「現在,中国政府に具体的な対象製品や認証内容を問い合わせている」(経済産業省)状態。複写機や薄型テレビなどが対象になるかどうかや,ソースコードの開示義務があるかどうかは分かっていないという。しかし,情報セキュリティの国際規格「ISO 15408」では申請者が任意でソースコードを開示していることもあり,ソースコードの開示を義務付ける可能性はある。「ソフトウエアを対象とする世界でも類を見ない規制で,貿易への影響が懸念される」(経済産業省)として,経済産業省や業界団体は,欧米の政府や業界団体と協力して撤回や修正を求めていく姿勢を見せている。

 

 
     也就是除了針對規範的 13 種產品要進行認証之外,還需要自 2009 年 5月開始就要施行相關程式碼的交付義務。
 
       中國政府將把資訊安全產品列為安全認證制度的適用對象。其中,配備用的 IC晶片用OS及資料庫等也被列為認證對象,估計為取得認證還有可能要求公開源代碼。日本企業界擔心會因此導致智慧財產受侵犯及資訊洩露等。
 
至於影印機、平板電視等會不會列入認證目錄以及會不會要求公開源代碼等,目前尚不清楚。但是,資訊安全國際規格“ISO 15408”中要求申請者可自由公開源代碼,中國的新認證制度可能要求公開源代碼。
 
註:13種產品,將包括軟體在內的資訊安全產品,涉及到防火牆、LAN網卡、網路交換器、VPN、路由器、智慧卡與IC晶片使用的 OS、數據備份與還原用軟體、作業系統、資料庫系統
、防垃圾郵件產品、入侵式偵測系統、網路監控系統、網路歷史記錄及 log 收集分析工具、文件修改檢測系統等13種產品。