中国製IT機器のリスクとは？国家情報法から見る「本当の懸念」と企業のサプライチェーン防衛策

 

導入： なぜ「高品質な中国製品」にも不安が残るのか？

 

私たちのビジネスや日常生活において、中国メーカー製のIT機器は欠かせない存在となっています。

実際に、個人としてこれらの製品を利用している限り、「特に問題を感じたことはない」という声も多いのが実情です ³。技術的な品質や革新性において、これらの企業が世界トップレベルにあることは間違いありません。

しかし、特に企業がこれらの製品を業務の基幹部分に導入しようとする際、漠然とした「セキュリティ上の不安」が付きまといます。この不安感は、一体どこから来るのでしょうか。

この記事では、その不安の正体を解き明かします。問題の核心は、製品の基板に「バックドア（不正な裏口）」が物理的に仕掛けられているかといった単純な技術的問題（それもゼロではありませんが）以前に、中国の「ある法律」の存在にあります。

本レポートは、この「法律リスク」が、いかにして「ビジネスリスク（サプライチェーン・リスク）」へと直結するのか、そして企業はどのような「判断基準」と「覚悟」を持ってこれらの製品と向き合うべきかを、専門家でなくても分かるように平易な言葉で解説します。

 

1. 高品質なのに、なぜ？ 中国製IT機器の「リスク」が問われる根本原因

 

 

1-1. 優れた製品が多いのは事実

 

まず前提として、中国のハイテク企業が持つ技術力は非常に高いレベルにあります。¹。ZTEのような大手通信機器メーカーも、技術的には高い水準の製品を提供しています ³。某インターネットプロバイダーに加入した際、WIFIルーターが無償貸与されましたがZTE製 慌てて有償で一流日本メーカー製に交換してもらいセキュリティの不安はなくなりましたな、スループット...通信速度は三割下がってがっくり。

中国製は安かろう悪かろうというのは一昔前までの話。

今も安かろう悪かろうメーカーもありますが、日本メーカーと肩を並べる、時には追い抜く事もあります。

性能はよかったんだと体験したことがあります。

したがって、「全部が全部悪意のあるIT機器、ソフトウェアではない」というのは紛れもない事実であり、高品質な製品を誠実に製造しているメーカーも多い、という点を議論の出発点として認識することが重要です。色々言われるIT機器やITサービス　劣悪なものも混じっていますが、一部には「すごい！」　安いだけでなく、性能も高く、セキュリティリスクさえなければ使いたいのにと思うものもあります。

 

1-2. 問題の核心：中国「国家情報法」とは何か

 

では、なぜこれほど高品質な製品に対して、世界中からセキュリティリスクが指摘されるのでしょうか。その最大の理由が、2017年6月に施行された中国の「国家情報法」の存在です ⁴。

この法律は、国の安全という概念を、従来の軍事・政治分野だけでなく、経済、文化、技術、インターネット空間など極めて広範な分野に適用し、国の安全を包括的に守ることを目的としています ⁴。

その中でも、特に世界各国の政府や企業が問題視しているのが、以下の条文です。

国家情報法 第7条 5

「いかなる組織及び国民も、法に基づき国家情報活動に対する支持、援助及び協力を行い、知り得た国家情報活動についての秘密を守らなければならない。」

「国は、国家情報活動に対し支持、援助及び協力を行う個人及び組織を保護する。」

 

1-3. メーカーの「善意」では回避できない法的義務

 

この第7条が意味することは、非常に重大です。

この条文を平易に解説すると、「もし中国政府（国家情報機関）が『国の情報活動に協力しろ』と命令した場合、中国国内のあらゆる組織（企業）や国民（従業員）は、法的にそれを拒否できない」ということです ⁵。

対象となるのは、HuaweiやZTEのような大企業から、AnkerやDJIのような急成長した民間企業、そしてそれらの企業に勤める個々の従業員まで、例外なくすべての「組織及び国民」です。

さらに深刻なのは、同条文の後半にある「知り得た国家情報活動についての秘密を守らなければならない」（守秘義務）という部分です。これは、たとえ政府の命令で顧客（例えば日本の取引先）のデータを政府に提供したとしても、その企業は「政府に協力した」という事実自体を、顧客に知らせることが法的に禁じられることを意味します。

 

1-4. 判断基準は「メーカー」ではなく「中国政府」を信頼できるか

 

この法構造が、中国製IT機器を採用する上での根本的なジレンマを生み出しています。

通常のビジネス取引において、私たちは取引先の「信用」を、その企業の過去の実績、財務状況、そして交わした「契約書」や「プライバシーポリシー」によって担保します。例えば、ある中国企業が「私たちはお客様のデータをプライバシーポリシーに基づき厳格に守り、決して外部に提供しません」と真摯に約束したとします。

しかし、「国家情報法」第7条 ⁵ は、国家による情報活動への協力命令が、その企業のプライバシーポリシーや、外国の顧客と交わした契約内容よりも法的に優先されるという構造を作り出しています。

したがって、中国企業がどれだけ誠実に「顧客データを守る」と宣言していても、中国政府から「国家情報法」に基づく命令が出た瞬間、その約束は法的に無効化される（あるいは、約束を守ること自体が中国国内法で違法となる）可能性を否定できません。

ここから導き出されるのは、私たちが問うべき判断基準は、「このメーカーは信用できるか？」という企業の倫理の問題ではない、ということです。本当に問うべきは、「中国政府は、国家情報法を（スパイ活動や情報収集のために）行使しないと、あなたは心の底から信用できますか？」という地政学的な信頼の問題です。これこそが、中国製IT機器を巡る議論の核心です。個人的には地道に良い製品、サービスを提供しようと努力をしている一部中国企業の企業努力を自国の政府が足を引っ張っていて、気の毒、、、と思います。しかし、これは中国の内政問題なので、日本側からは何も言えない、、と言うより言うべきではない？ので、中国国内で異議を唱える中国企業、個人が出てくるのを祈るしかありません。

 

2. リスクは現実か？ 世界の政府とハッカーの具体的な動き

 

「国家情報法」⁵ があるからといって、それが即座に脅威になるわけではない、という意見もあります。しかし、この法律が単なる理論上のリスクではなく、「現実の脅威」として世界各国の政府やセキュリティ機関に対処を促している具体的な事例が存在します。

 

2-1. 米国政府がHuaweiやZTEを「脅威」と認定した理由

 

最も顕著な例は、米国の対応です。米国連邦通信委員会（FCC）は、華為技術（ファーウェイ）、中興通訊（ZTE）、ハイテラ、ハイクビジョン、ダーファの中国企業5社を「国家安全保障上の脅威」と公式に認定しました ⁶。

FCCが講じた具体的な措置は、これらの企業が製造する通信機器や監視カメラについて、米国への輸入や販売を行うための認証（許可）を、国家安全保障上の理由で禁止するというものです ⁶。

重要なのは、この措置が米政府機関による調達禁止（国防権限法2019）⁷ にとどまらず、民間分野での取引制限にまで踏み込んでいる点です ⁷。これは、これらの企業が「中国政府の支配下にないことの証明」ができず ⁷、国家情報法に基づき米国の重要な通信インフラや社会インフラにリスクをもたらす可能性があると、米国政府が公式に判断したことを示しています。

 

2-2. 日本政府の調達基準と「サプライチェーン・リスク」

 

日本政府もこの問題を静観しているわけではありません。内閣サイバーセキュリティセンター（NISC）は、「政府機関等のサイバーセキュリティ対策のための統一基準群」を策定し、政府機関における情報セキュリティのベースラインを定めています ⁸。

特に注目すべきは、この基準群の一つとして公開されている「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書」です ⁸。

この手引書は、政府がIT機器やシステムを調達する際に、仕様書に盛り込むべきセキュリティ要件を解説したものです。具体的には、調達する機器やサービスについて、「委託先企業又はその従業員、再委託先、若しくはその他の者による意図せざる変更が加えられないための管理体制」が整備されているか、また「委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性（中略）及び国籍に関する情報提供」を求めるよう記載されています ⁸。

これは、政府調達において、機器の「機能や性能」だけでなく、「その機器が製造され、納入されるまでの流通過程（サプライチェーン）で、不正な手が加えられていないこと」を厳しく確認するという姿勢の表れです。名指しこそされていませんが、「国家情報法」⁵ のような法律を持つ国の製品や、資本関係が不透明な企業の製品は、この基準を満たすことが困難であると解釈できます。

 

2-3. ルーターに潜む脅威「BlackTech」の手口

 

政府の規制動向だけでなく、技術的な脅威も現実のものとなっています。2023年9月、日本の警察庁とNISCは、米国のNSA（国家安全保障局）やFBI（連邦捜査局）などと共同で、あるサイバー攻撃グループに関する注意喚起を発表しました ⁹。

そのグループは「BlackTech（ブラックテック）」と呼ばれ、中国を背景に持つとされています ⁹。BlackTechは、2010年頃から日本を含む東アジアや米国の政府・重要インフラ分野を標的に、情報窃取を目的とした攻撃を行っているとされています ⁹。

BlackTechの脅威的な手口は、ネットワークの入り口であるルーターのファームウェア（機器を動かすための基本的なソフトウェア）を、改変された不正なものに置き換えて侵入することです ⁹。

PCやサーバーがウイルス対策ソフトで守られていても、ネットワーク機器であるルーターのファームウェアは「盲点」になりがちです。攻撃者がルーターのファームウェアを掌握すると、そこを通過する通信を丸ごと傍受したり、攻撃の証拠となるログ（記録）を隠蔽したりすることが可能になります ⁹。これは、私たちが購入する「IT機器（ハードウェア）」そのものが、サイバー攻撃の「侵入口」となり得ることを示す深刻な実例です。

 

2-4. Anker製品に見つかった「意図せぬ」脆弱性

 

一方で、意図的なバックドア（裏口）とは異なる、純粋な「技術的脆弱性（ぜいじゃくせい）」が発見されるケースもあります。

2021年、シスコシステムズのセキュリティ研究チーム（Cisco Talos）は、Ankerのスマートホーム製品「Eufy Homebase 2」に、複数の深刻な脆弱性が存在することを発表しました ¹。

• CVE-2021-21940 ¹：ヒープベースのバッファオーバーフロー。悪意のあるネットワークパケット（通信データ）を送り込むことで、機器に誤作動を引き起こさせる可能性がある脆弱性。

• CVE-2021-21941 ¹：解放済みメモリ使用（use-after-free）。悪意のあるパケットを送り込むことで、攻撃者が遠隔（リモート）から機器上で任意のコードを実行できる可能性がある、非常に危険な脆弱性。

この事例をどう解釈すべきでしょうか。まず、Anker社はCisco Talosと協力し、これらの脆弱性を修正するアップデート（更新プログラム）を速やかに利用者に提供しています ¹。この対応から、これらの脆弱性はAnker社が意図して仕込んだ「バックドア」ではなく、ソフトウェア開発の過程で意図せず発生してしまった「バグ（不具合）」であった可能性が極めて高いと考えられます。

ここで、これまでに挙げた3つの要素（国家情報法、BlackTech、Ankerの脆弱性）を組み合わせて考える必要があります。

1. BlackTechのような攻撃者 ⁹ や、米政府が懸念する脅威 ⁶ は、「意図的な脅威」です。

2. Anker製品で見つかった脆弱性 ¹ は、「意図しない技術的リスク（バグ）」です。

これらは本来、全く異なる種類のリスクです。しかし、「国家情報法」⁵ が存在することで、この2つのリスクは融合する可能性を持ちます。

最大の懸念シナリオは、Ankerのような「善意の」メーカーが、(1) 自社製品に「意図しない」深刻な脆弱性（バグ）を発見した際に、(2) もし中国政府から「国家情報活動のために、その脆弱性を修正せず、その情報を我々に提供しろ」と「国家情報法」に基づき命令されたら、(3) 企業は法的にそれに従う義務がある、というものです。

つまり、通常の「技術的リスク」（バグ）が、「国家情報法」という触媒によって、BlackTechが使うような「地政学的リスク」（意図的な脅威）へと強制的に転換させられる可能性。これこそが、他国の製品にはない、中国製IT機器が本質的に抱える最大のリスクと言えます。

 

3. あなたの会社は大丈夫？ 取引停止も招く「サプライチェーン・リスク」の恐ろしさ

 

中国製IT機器を導入する際の「覚悟」について、その必要性の背景にある「サプライチェーン・リスク」の具体的なメカニズムを解説します。

 

3-1. 自社が中国製品を使うことで「取引先のリスク」になる

 

「サプライチェーン・リスク」と聞くと、多くの人は「自社が購入した中国製品にスパイウェアが仕込まれていて、自社の機密情報が盗まれる」という直接的なリスクを想像するかもしれません。

もちろんそれも重大なリスクですが、現代の企業間取引において、より深刻で現実的なダメージを与え得るのは「間接的なリスク」、すなわち「取引停止リスク」です。

この間接的リスクのメカニズムは、以下のようになります。

1. あなたの会社（A社）が、重要な取引先（B社）を持っているとします。

2. B社が、米国企業や日本政府（調達基準が厳しい ⁸）、あるいは米国の規制 ⁷ を気にするグローバルな大企業だった場合、B社は自社のビジネスを守るため、自社の「サプライチェーン（取引先の連鎖）」全体が安全であることを対外的に証明しなくてはなりません。

3. その際、B社は取引先であるA社（あなたの会社）に対しても、「貴社の社内ネットワークは安全か？」「サプライチェーン・リスクが懸念される（例：米国の制裁対象 ⁷ である）中国製機器をネットワークの基幹部分で使っていないか？」という内容の監査やアンケート（質問状）を送ってきます。

4. もしA社が「コスト削減のため、社内ネットワークの基幹ルーターにHuawei製を採用しています」と正直に回答した（あるいは監査で発覚した）場合、B社はそれをどう判断するでしょうか。

5. B社にとって、A社と取引を続けることは、自社のサプライチェーンに「国家情報法のリスク」⁵ を抱え込むことを意味します。それは、B社自身が、その顧客（例えば米国政府や他の大企業）から「リスク管理ができていない」として取引を停止されるリスク（⁷）を負うことにつながります。

6. その結果、B社は自社を守るための経営判断として、あなたの会社（A社）との取引を停止する、という選択を下す可能性が十分にあります。

 

3-2. 迫られる「踏み絵」：あなたの会社に求められる「覚悟」とは

 

これが、中国製品を採用する企業に求められる「覚悟」の正体です ⁷。

求められる覚悟とは、「自社の情報が万が一ハッキングされても構わない」という技術的な覚悟ではありません。

「中国製の安価で高性能なIT機器を採用するという経営判断のために、結果として最も重要な取引先を失うことになっても、自社は耐え抜く」という経営上の覚悟です。

これはもはや、技術やセキュリティの問題ではなく、完全に「経営リスク」の問題です。もちろん、世論誘導をするつもりはなく、事実を列挙したのみで、判断は貴社次第です。

うちの会社はセキュリティリスクにあるIT製品を使用している場合、取引を打ち切ると、通達が出ていますが、所詮中企業メーカー。

影響はそれほどないかもしれませんがこの動きが広がるのではないかと思っています。

　「可能性がある」　と言うだけでは、国による法律での法規性はないかもしれません。

しかし、取引は法規制ではなく担当者の気持ち次第で決まるので、法規制がなくても取引規制は起こります。

 

3-3. 全排除が難しい場合の「賢明な」リスク判断

 

とはいえ、現代のビジネス環境において、すべての中国製品を「全排除」することは非現実的です。そこで、賢明なリスク判断が必要になります。

リスクの源泉は、国家情報法 5 による「データの窃取・協力」の可能性にあることを思い出してください。

であるならば、リスクの大きさは、その製品が「(1) 窃取されると困る機密データにアクセスできるか」「(2) ネットワークに接続されているか」という2つの軸によって決まると考えられます。

例えば、「リン酸鉄モバイルバッテリー」を考えてみましょう。

この製品は、(1) 機密データにアクセスすることはなく（単なる電力供給）、(2) ネットワークに接続されることもありません。

ここから導き出されるのは、リスクは一律ではない、ということです。「全排除」か「全面採用」かの二択ではなく、**リスク・ゾーニング（分離・区分け）**が可能です。

• 安全（低リスク）: ネットワークや機密データに一切触れない製品。

  （例：モバイルバッテリー、PCケース、液晶モニターなど）

• 危険（高リスク）: 機密データに触れる、あるいはネットワークの中枢を担う製品。

  （例：ルーター、ファイアウォール、ネットワークスイッチ、サーバー、監視カメラ、業務で使用するPC・スマートフォン、データを扱うクラウドサービスなど）

この「ゾーニング」こそが、取引先を失う「覚悟」を決められない（＝取引先との関係を大事にしたい）大多数の企業が取るべき、最も現実的で賢明な防衛策となります。

 

4. 企業と個人ができる、具体的な「リスク回避策」

 

前章で提示した「リスク・ゾーニング」の考え方を、企業と個人が実行できる具体的なアクションプランに落とし込みます。

 

4-1. 【企業向け】対策①：データの「やり取りをしない」機器を選ぶ

 

最も簡単かつ強力な対策は、機密情報とデータのやり取りをしない、あるいは物理的にできないモノを選ぶことです。

• 採用OK（低リスク）の例:

  • リン酸鉄モバイルバッテリーや、USB充電器
    USBケーブル（※データ転送機能のない充電専用ケーブルなど）

  • PCケースや冷却ファン

  • PCから映像信号を受け取るだけの（データを入力・送信しない）液晶モニター

• 採用NG（高リスク）の例:

  • ネットワークに接続するすべての機器（ルーター、ファイアウォール、スマートスピーカー、監視カメラ、ネットワークプリンタ）

  • データを保存・処理する機器（業務用のPC、スマートフォン、NAS＝ネットワーク接続ストレージ）

 

4-2. 【企業向け】対策②：ネットワークの「中枢」と「末端」を切り分ける

 

どうしても中国製のネットワーク機器（例：安価なWi-Fiルーターなど）を使いたい場合、設置場所を厳格に分離（ゾーニング）します。

• 中枢（NG）: 社内の機密情報（人事・財務・開発データ）が集まる基幹ネットワーク（コアスイッチ、ファイアウォール、業務用サーバー群）には、国家情報法のリスクを抱える国の製品を絶対に使用してはいけません。

• 末端（条件付きOK）: 来客用の「ゲストWi-Fi」や、社内LANとは物理的に分離された「IoT機器（例：工場の温湿度計）専用ネットワーク」など、**「万が一、このネットワーク上の通信がすべて傍受されても、経営上の致命傷にはならない」**と判断できる領域でのみ、リスクを承知の上で限定的に利用します。

 

4-3. 【個人向け】「個人利用」のリスクはどれくらいか？

 

企業とは異なり、個人利用の場合はリスクの捉え方が変わります。国家レベルの情報活動において、個人のプライバシーが主要な標的になる可能性は、企業の機密情報に比べて低いと考えられます。

例えば、ZTE製のスマートフォンを個人が利用する場合 ³、その用途がSNSやウェブ閲覧、ゲームなどの娯楽目的であれば、極端なリスクを心配する必要は少ないかもしれません。実際に「3年以上中国製スマホを使っているが特に問題はない」という報告も多くあります ³。

ただし、リスクはゼロではありません。BlackTech ⁹ のような攻撃者は、セキュリティの甘い個人のルーターを乗っ取り、次の攻撃への「踏み台」として悪用することがあります。また、個人利用であっても、その端末で会社のメールを送受信したり、機密ファイルにアクセスしたりする場合は、企業利用と全く同じ「国家情報法」のリスクを負うことになるため、厳重な注意が必要です。

 

4-4. 新たな動き：EU「サイバーレジリエンス法(CRA)」が未来を変える？

 

ここまでの議論は、「国家（中国政府）を信頼できるか？」という、解決が難しい地政学的な「信頼（Trust）」の問題でした。しかし、欧州（EU）が新たに導入を進めている「サイバーレジリエンス法（CRA）」¹⁰ は、この問題を全く別の角度から解決しようとしています。

CRAは、EU域内で販売される「デジタル要素を持つ製品」（ほぼすべてのIT機器やソフトウェア）に対して、以下のような厳格なセキュリティ対策を法的に義務付けるものです ¹⁰。

• 設計・開発段階からセキュリティを確保すること（セキュリティ・バイ・デザイン）

• 既知の脆弱性をなくして出荷すること

• 発見された脆弱性に迅速に対処し、修正アップデートを提供すること ¹¹

• セキュリティに関する情報を利用者に透明性をもって提供すること ¹²

重要なのは、この法律がEU市場で製品を販売するすべての企業（中国企業も、米国企業も、日本企業も含む）に適用される点です ¹⁰。

将来的には、中国メーカーが巨大なEU市場で製品を販売したければ、「国家情報法」のリスクを懸念するEUに対し、CRAの厳格な基準（例：発見した脆弱性は24時間以内にENISA＝欧州サイバーセキュリティ機関に報告する義務 ¹¹）を満たしていることを客観的に証明しなくてはならなくなります。

これは、中国政府への「秘密の協力義務」（国家情報法第7条 ⁵）と、EU当局への「脆弱性の報告義務」（CRA第14条 ¹¹）が、法的に真っ向から矛盾する可能性をはらんでいます。中国企業は（そして中国政府も）、この矛盾に対して難しい選択を迫られることになるでしょう。

私たち利用者にとっては、これまで「メーカーや政府を信頼する」という曖昧な判断基準しかなかったところに、「厳格な国際法規（CRA）に準拠しているか」という、客観的で新しい判断基準が生まれる可能性が出てきたと言えます。

 

5. まとめ：中国製IT機器とどう付き合うべきか

 

本レポートの議論を総括し、中国製IT機器とどう付き合うべきかについての結論を提示します。

1. 中国製IT機器には、高品質・高機能な製品が数多く存在します ³。

2. しかし、そのセキュリティリスクの核心は、製品の「技術的な品質」にあるのではなく、中国の「国家情報法」⁵ という法的・地政学的なリスクにあります。

3. この法律は、採用の判断基準を「メーカーの信用」から「中国政府の信用」へと強制的に引き上げ、企業努力では解決不可能な問題を私たちに突きつけます。

4. このリスクは単なる杞憂ではなく、米国政府によるHuawei/ZTEの市場排除 ⁶ や、BlackTechのような国家背景を持つサイバー攻撃 ⁹ として、すでに現実のものとなっています。

5. 日本企業にとって最大のリスクは、自社が直接ハッキングされること以上に、中国製品（特に高リスクなネットワーク機器）を使うことで「サプライチェーン・リスク」⁷ とみなされ、セキュリティに厳しい重要な取引先から取引を打ち切られるという経営リスクです。

最終的な判断基準:

中国製品の採用を検討する企業は、その製品がもたらす性能やコストメリットと、「最悪の場合、主要な取引先を失うかもしれない」という経営リスクを天秤にかける**「覚悟」**が求められます。

その覚悟が持てない、あるいは持つ必要のない（取引先との関係を最優先したい）大多数の企業が取るべき最も賢明な策は、「リスク・ゾーニング（分離）」です。

依頼内容で示された「リン酸鉄モバイルバッテリー」のように、ネットワークや機密データに一切関わらない「末端」の製品に利用を限定すること。これこそが、中国製品のメリットを享受しつつ、致命的な経営リスクを回避するための、最も現実的な防衛策です。

最後に、このような状況は、高い技術力と誠実な志を持って製品開発に取り組んでいる中国の民間企業にとって、非常に気の毒な側面も持ちます。彼らは、自社の企業努力ではどうにもならない「法律」という名のカントリーリスクによって、世界中のクライア​​ントから疑念の目で見られ、ビジネスの機会を失っているからです。もし彼らが日本や米国のクライアントから取引を打ち切られたとして、その抗議の声を上げるべき相手は、クライアントではなく、自国の民間企業の健全な努力を踏みにじるような法律を制定・運用している政府なのかもしれません。

 

【中国製IT機器のリスク】に関するよくある質問

 

Q1. 中国の「国家情報法」とは、簡単に言うとどんな法律ですか？

A1. 2017年に施行された中国の法律です。第7条 5 にて、中国のあらゆる企業や個人は、中国政府の情報活動（スパイ活動など）に「支持、援助、協力」するよう法的に義務付けられています。また、協力したことを秘密にする義務もあります。

Q2. すべての中国製IT機器は危険で、使うべきではないのですか？

A2. いいえ、一概にそうとは言えません。高品質で機能的な製品も多くあります 3。問題は、その製品が「ネットワーク」や「機密データ」にアクセスできるかどうかです。リスクを理解し、適切に判断（ゾーニング）することが重要です。

Q3. 私が使っているAnkerのモバイルバッテリーは安全ですか？

A3. はい、安全と判断してよいでしょう。「リン酸鉄モバイルバッテリー」の例のように、その機器がネットワークに接続したり、PCやスマホとデータをやり取りしたりする機能を持たない（＝情報を盗みようがない）場合、国家情報法のリスクは実質的にないと考えて問題ありません。

Q4. Anker製品で脆弱性が見つかった 1 と聞きましたが、これはバックドアですか？

A4. 2021年に報告された脆弱性 (CVE-2021-21940, CVE-2021-21941) 1 は、意図的な「バックドア（裏口）」ではなく、ソフトウェア開発で発生し得る「バグ（不具合）」と見られています。Anker社はCiscoと協力し、修正アップデートを配布しています。ただし、このような「バグ」が国家情報法によって悪用される可能性は、理論上のリスクとして残ります。

Q5. 記事で言及された「サプライチェーン・リスク」とは何ですか？

A5. 自社が中国製IT機器（例：ルーター）を使うことで、自社がサイバー攻撃の「弱点」となり、その結果、自社と取引している顧客（取引先）にまで被害が及ぶ危険性のことです 7。それ（米国政府の規制対象機器の利用など）が発覚した場合、取引先から取引を停止されるビジネス上のリスク 7 を含みます。

Q6. なぜ米国政府はHuawei（ファーウェイ）やZTEを名指しで禁止したのですか？

A6. 米国連邦通信委員会（FCC）が、「国家安全保障上の脅威」となると判断したためです 6。これらの企業が中国政府の支配下にあり、国家情報法 5 に基づいて米国の通信インフラから情報を窃取したり、インフラを停止させたりする活動に利用される可能性がある、と強く懸念されています 7。

Q7. 中国のハッカー集団「BlackTech」とは何ですか？

A7. 中国を背景に持つとされ、日本や米国、東アジアの政府・企業を標的にするサイバー攻撃グループです 9。警察庁などが注意喚起しており、特にルーターのファームウェアを不正なものに書き換えて長期間潜伏し、情報を盗み出す手口 9 が知られています。IT機器（ハードウェア）が攻撃の踏み台にされる実例です。

Q8. 中小企業の経営者です。具体的に何をすればよいですか？

A8. まず、社内のIT機器を棚卸しし、「中枢（基幹ネットワーク、サーバー）」と「末端（データに触れない機器）」に分類してください。そして、「中枢」からは、信頼性を証明できない国の製品を排除することを検討します。全排除が難しい場合でも、基幹ルーターやファイアウォールなど、通信の「関所」にあたる部分だけは、信頼できる国の製品（日本、米国、欧州製など）に交換することを強く推奨します。

Q9. EUの「サイバーレジリエンス法（CRA）」10 とは、私たちに関係ありますか？

A9. 将来的に、大いに関係あります。CRA 10 は、EU市場で販売されるすべてのIT機器（中国製品含む）に、厳格なセキュリティ基準と脆弱性対応（例：24時間以内の報告義務 11）を義務付けます。これにより、メーカーは「信頼」ではなく「法律遵守」でセキュリティを証明する必要が出てきます。これが世界標準になれば、私たちが製品を選ぶ際の安全な基準になる可能性があります。

Q10. 中国企業の「プライバシーポリシー」は信用できますか？

A10. 企業の倫理観としては信用できるかもしれません。しかし、法的な観点からは、そのプライバシーポリシーが「国家情報法」5 よりも優先される保証はどこにもありません。国家から命令が下れば、企業はプライバシーポリシーに反してでも、政府に協力する義務があります。この一点において、採用の判断基準は「メーカー」ではなく「中国政府」を信頼できるか、という問題になります。