中国政府は11月から「個人情報保護法」を施行すると発表した。根拠法に憲法を据えるなど法としてのランクが高く、74条に及ぶ条文の内容は欧州連合(EU)の一般データ保護規則(GDPR)並みと評価されている。「インターネット安全法」(2017年6月施行)、「データ安全法」(今年9月施行)に続き、これでデータ関連の基本法が完備された。
中国が法整備を急いできた背景には、データ主権をめぐる世界的な角逐の中で欧米に対抗する意図があり、各種報道でも、外資企業によるデータ国外持ち出しへの規制が注目されている。しかし、もう一つ見逃せないのは巨大IT企業に対する規制強化の側面である。
アントグループ(アリババ集団傘下)の上海と香港の両証券取引所への上場停止(20年11月)と約182億元(約3100億円)のアリババへの罰金処分(今年4月)、配車アプリ大手の滴滴出行(ディディ)など3社への審査開始(今年7月)があったことは記憶に新しい。
アリババに対しては「独占禁止法違反」、滴滴出行などに対しては「個人情報収集の違法行為」と適用法が異なるかにみえるが、各社とも個人情報を含むビッグデータをAI技術で処理・活用するビジネスモデルで成長してきた点が共通している。
中国政府・共産党は、アリババについては、ビッグデータ活用の金融サービスで既存金融システムを脅かす存在となったうえに米国での上場を拡大したことを、滴滴出行については、米国での上場に関連してユーザーデータを米証券取引委員会に開示する恐れがあることを問題視したとみられる。
こうした背景から、金融分野でも「法に基づき証券違法行為を取り締まる意見」が公表され(今年7月)、国家インターネット情報弁公室(CAC)によりユーザー数が100万人超の企業が海外上場する際に当局の審査が義務付けられた。
巨大IT企業の対応を見ておこう。アリババ処分後の4月13日に国家市場監督管理総局(独禁法規制当局)は、アリババ、滴滴出行も含むIT企業大手34社を招集した会議で「5つの厳格な防止と5つの確保」を指示した。独占禁止法の趣旨厳守を求める内容であるが、筆頭に「資本の無秩序な拡張を厳格に防止し、社会安全を確保する」という項目が挙げられ、政府の巨大IT企業規制のスタンスが明確に示されている。
しかも、企業側は、指示内容を守る旨を社会に対して「約束」する公告を規制当局ウェブサイトで発表するよう求められ、全企業が従っている。
今後IT企業は「約束」を遵守せざるを得ない。優位性の源泉だったデータの管理は強化され、海外での新規上場は厳しい審査をクリアする必要がある。諸々の規制を超えて新たな成長空間を求めることは難しくなりつつあるといえよう。