1年間に及ぶ当局の調査がようやく終了した。
Reuters
中国最大の配車サービス企業で、ソフトバンクバンクグループやトヨタ自動車の出資を受ける滴滴出行(DiDi Chuxing)が、インターネット安全法(サイバーセキュリティ法)、データ安全法、個人情報保護法への違反を認定され、80億2600万元(約1600億円、1元=20円換算)の罰金を科された。
この金額は2021年通期の売上高(1738億2700万元)の5%に相当する。中国政府のIT企業規制の厳しさを物語る額だが、1年以上にわたった調査が終結したことで、DiDiや業界にとっては“あく抜け”の雰囲気もある。
【これまでの流れ】米国で上場、2日後に当局の調査
DiDiに対する調査は1年続いており、当時の騒動をあまり覚えていない人のために、流れを簡単におさらいしたい。
中国の配車サービス市場で圧倒的なシェアを持つDiDiは2021年6月30日にニューヨーク市場に上場、上場初日の終値は14.14ドル(約1900円、1ドル=136円換算)で、これに基づく時価総額は約680億ドル(約9兆2400億円)に達した。DiDiは2021年の世界最大級のIPO案件として注目されており、中国企業の米国IPOとしては2014年のアリババグループに次ぐ2番目の規模だった。
だが2日後の7月2日、IT行政を所轄するインターネット情報弁公室がDiDiに対し「国家安全法」および「インターネット安全法」に基づき審査を始めたと発表した。その後、当局は4日にDiDiの法令違反が確認されたとして、アプリのダウンロードを停止。続いてアプリストアにDiDiが運営する25アプリの削除を命令した。
アプリのダウンロード停止で新規顧客が獲得できなくなったほか、データ管理体制の強化などで運営コストが増加し、DiDiは2021年12月決算で500億元(約1兆円)の最終赤字を計上した。データの国外流出を懸念する中国当局に従うしかないと判断した同社は、同年末にニューヨークの上場廃止方針を固め、2022年5月23日の臨時株主総会で「当局による処分を解除し、香港取引所に再上場するのが唯一の選択肢」だと株主に訴えて上場廃止を正式に決定した。
DiDiの大株主であるソフトバンクグループも一連の騒動で大きな打撃を受けた。DiDiの株価下落で損失を出しただけでなく、当局が調査を始めたときや上場廃止方針が報道されたときに、ソフトバンクグループ自身の株価も急落した。
【認定された違法行為】個人情報の不正取得、当局の是正要求に従わず
程維CEOと柳青総裁も経営責任を問われ罰金を命じられた。
Reuters
国家インターネット情報弁公室は7月21日、DiDiのネットでの情報収集などが2017年に施行されたインターネット安全法、21年施行のデータ安全法と個人情報保護法の全てに違反したと指摘しDiDiの程維・董事長兼最高経営責任者(CEO)と柳青総裁にもそれぞれ100万元(約2000万円)の罰金を科した。同社は21日、「誠心誠意受け止めて従う。処罰の決定と法律法規に基づいて、全面的に自らの体制を見直し、当局の調査に協力する」などとコメントした。
当局は16項目の違法行為が認定されたとし、具体的に以下の8パターンに分類した。
- ユーザーの携帯電話のアルバムから1196万3900件のスクリーンショット情報を不正収集した。
- ユーザーのクリップボードとアプリケーションリストから必要な範囲を超えて83億2300万件の情報を収集した。
- 乗客の顔認識情報1億700万件、年齢に関する情報5350万9200件、職業に関する情報1633万5600件、家族関係に関する情報138万2900件、家と会社でタクシーを呼んだ住所情報1億5300万件を必要な範囲を超えて収集した。
- ユーザーがサービスをレビューしている時、アプリがバックグラウンドで動作している時、携帯電話が走行記録システムに接続されている時に、必要な範囲を超えてユーザーの位置情報(緯度と経度)を1億6700万件収集した。
- 運転手の学歴情報14万2900件を必要な範囲を超えて収集し、身分証明書情報5780万2600件を暗号化せずに保管した。
- ユーザーのサービス利用目的に関する情報539億7600万件、居住都市情報15億3800万件、出張・旅行先に関する情報3億400万件を無断で分析した。
- 相乗りサービス「順風車」を利用する乗客に、「電話アプリの権限」を必要もなく頻繁に要求した。
- ユーザー端末情報を含む19の個人情報の利用目的を明確に表示しなかった。
当局はさらに、
- DiDiが国家安全保障に重大な影響を与えるデータ処理を行っていた。
- 規制当局からの要求に従わず、面従腹背で監督を回避していた。
- DiDiの違法行為が2015年6月に始まり、2017年6月施行のインターネット安全法、2021年9月施行のデータ安全法、同年11月施行の個人情報保護法に抵触している。
- センシティブなものも含めてユーザーの個人情報を違法かつ大量に取得し、プライバシーを著しく侵害した。
とも指摘。「国家安全保障に関わる」ことを理由に具体的な行為は明かさなかったものの、「同社の法律、ルールを無視した運営が政府の重要な情報インフラとデータセキュリティに深刻なリスクをもたらした」と糾弾した。
DiDiの違反行為が国の安全保障を脅かすことと、是正を求めても無視あるいは軽視されたことが特に当局の心証を害し、巨額の罰金に加え、1年以上にわたる業務の制限という厳しい対応につながったようだ。DiDiの上場も、当局の制止を振り切って強行されたと一部で報じられている。
【DiDiと中国IT企業の今後】 1年の調査終結し正常化に期待
2021年6月30日にアメリカに上場したDiDiは当局の圧力を受け、上場廃止の手続きを進める。
Reuters
当局は今回の処分で、「国家安全法」違反については言及しなかった。DiDiがアメリカでの上場廃止を正式決定したため、データの海外への持ち出しを規制する同法での処分を見送った可能性もある。
IT企業による膨大なユーザーデータの独占は、格差の温床として強い批判を受けるようになった。
中国は最近までデータの取扱いや保護に関するルールが整備されておらず、消費者が知らない間に個人データを吸い取られているという事実も存在する。6月末には「上海市警察当局のデータベースから漏れた」とする中国人10億人分の個人情報がインターネットで売り出され、米メディアがアリババのクラウドサービスから流出した疑いを報道している。
ルールの整備とガバナンス強化は必要だが、IT企業の規制は中国政府にとって「監視」「強権」を印象づける狙いもある。国営メディアの新華社は論説でDiDiの処分を取り上げ「一般大衆の利益を損ない、国家の安全を脅かす企業には、厳しく重い罰金を科すべきだ!」「他の企業はDiDiへの罰金を警告として受け止めるべき」と論じた。
中国政府は今月7日、データの海外への持ち出しに関する規則「データ海外越境安全評価弁法」を9月1日に施行するとも発表した。通信や金融、交通などの重要情報を扱うインフラ運営者や100万人以上の個人情報を扱う事業者、前年の1月1日から累計で10万人以上の個人情報を持ち出す事業者、1万人以上の指紋などの「センシティブ個人情報」を持ち出す事業者に対して、事前の審査を義務付けた。こちらは米中対立を背景にしたデータの囲い込みという側面もある。
ただ、DiDi一社で見れば、行政処分が出たことで一区切りとなり、香港再上場を目指す体制が整ったと言えるだろう。
DiDiと前後してアメリカに上場し、当局の調査対象になったトラック配車アプリ運営の満幇集団と、求人アプリ「BOSS直聘」を運営する看准の2社は6月29日、「中国当局の指導を受けながらデータの安全を確保する改善を進め、アプリの新規登録再開の同意を得た」と発表した。DiDiの新規登録も間もなく発表される見込みだ。
中国IT企業規制の引き金を引いたアリババグループの金融子会社アント・グループの上場手続き再開の観測もあり、今回のDiDiの行政処分を機に、当局のIT企業への締め付けが緩むことを期待する声もある。
浦上早苗: 経済ジャーナリスト、法政大学MBA実務家講師、英語・中国語翻訳者。早稲田大学政治経済学部卒。西日本新聞社(12年半)を経て、中国・大連に国費博士留学(経営学)および少数民族向けの大学で講師のため6年滞在。最新刊「新型コロナ VS 中国14億人」。未婚の母歴13年、42歳にして子連れ初婚。