お知らせ
INFORMATION

中国強制認証(CCC)制度へのITセキュリティ製品の追加について

 

(社)電子情報技術産業協会(JEITA)
(社)ビジネス機械・情報システム産業協会(JBMIA)
(社)情報サービス産業協会(JISA)


2009年4月29日、中国政府は、中国強制認証(CCC: China Compulsory Certification)制度の対象へのITセキュリティ製品(ファイアウォール、セキュアLANカード、VPN、セキュアルータ、スマートカード用チップOS、データバックアップ・リカバリ製品、セキュアOS、セキュアデータベースシステム、迷惑メール防止製品、侵入検知システム、ネットワーク脆弱性診断システム、セキュリティ監査製品、ウェブ改ざん検知システムの13品目)の追加に係る正式な実施細則を公表し、2010年5月1日より実施する旨、発表しました。


ITセキュリティ製品については国際標準であるISO/IEC15408(CC: Common Criteria)に基づく任意かつ相互承認という主要26ヶ国による枠組み(CCRA: Common Criteria Recognition Arrangement)が確立されており、このような国際動向に反した独自の強制認証制度は、国際貿易の阻害要因となると考えられます。


また、発表された実施細則によれば、中国国内の指定機関で認証を受ける必要があるところから、その過程でのソースコードの開示等により重要技術に係る知的財産や営業秘密が流出しかねないことや、対象製品が不明確なことなど、様々な弊害が予想されます。


これまで、日本政府をはじめ米国、欧州、韓国などの主要国政府が国際会議や二国間協議など様々な機会に繰り返し懸念を伝えているところと聞いております。また、私ども産業界としても、中国当局との間で会合を持ち、制度の問題点などについて話し合いを行いました。このような状況の中、中国政府が今回、実施時期を1年延期し、適用範囲を政府調達に絞ったとは言え、強制認証制度の導入についての発表に踏み切ったことは大変遺憾に思っております。


中国政府におかれては、早急に産業界を含めた主要国関係者との協議を行い、撤回するよう強く望むものであります。



ご参考


中国強制認証(CCC)制度:

2003年8月1日より中国で実施されている電気/電子関連製品(ハードウェア製品)などの安全確保を目的とした強制認証制度。認証を受けていない製品は中国市場において生産、販売、輸入が出来ない。

(参考URL:財団法人 電気安全環境研究所
http://www.jet.or.jp/cooperation/index4.html

CCRA(Common Criteria Recognition Arrangement)

国際標準ISO/IEC15408セキュリティ評価基準(CC: Common Criteria)に基づいて認証国(CAP)が認証した製品を、受入国(CCP)を含むすべてのCCRA加盟国で内部設計書を他国に開示せずに承認する国家間の協定。日本は2003年10月に認証国としてCCRAに参加した。

認証国13ヶ国(CAP: Certificate Authorizing Participants):
米、英、独、仏、加、日、スウェーデン、スペイン、韓国、ノルウェー、オランダ、ニュージーランド、オーストラリア

受入国13ヶ国(CCP: Certificate Consuming Participants):
フィンランド、ギリシア、イタリア、イスラエル、オーストリア、トルコ、ハンガリー、チェコ、シンガポール、インド、マレーシア、パキスタン、デンマーク

注)受入国はCCRAの基準を満たす評価認証機関を持つことにより認証国になることができる。