施行後も対応すべき内容が不透明な中国のサイバーセキュリティ法

2017-07-14

日本においては、2017年5月30日より改正個人情報保護法が全面施行されました。また、昨年末には米国ニューヨーク州の金融サービス局(New York Department of Financial Services)がサイバー規制を発行、さらに、来年5月には欧州の一般データ保護規則(General Data Protection Regulation、通称GDPR)の適用が開始されるなど、グローバル展開している企業のビジネスに影響を与える法規制強化が進んでいます。

隣国中国においても、さまざまな議論を経て、今年6月1日にサイバーセキュリティ法(中华人民共和国网络安全法、以下「中国サイバー法」)が施行されました。この法律は、その名称はサイバーセキュリティとあるものの、個人情報保護にかかわる要求事項も含まれています。また、この法律は、サイバーリスクへの対応を目的とした他のサイバーセキュリティ関連法規制とは異なり、国家によるサイバー空間に対する監督強化の側面も見受けられる点が特徴的です。

本コラムでは、この中国サイバー法の内容と、想定される対応内容についてご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。また、中国サイバー法の原文は中国語であり、本記事の中では便宜上日本語訳したものを使っていますが、この訳はあくまで仮訳であることをご了承下さい。

中国サイバー法成立の背景

中国国家主席の習近平は、中国共産党中央サイバーセキュリティ・情報化指導弁公室および情報委員会を自ら統括しています。また、2014年の世界インターネット会議やブラジル国会でのスピーチなどにおいて、サイバーセキュリティの重要性に関する発言があったり、当時の米国オバマ大統領との会談においても、サイバーセキュリティを支持し、米国と共同で問題解決に向けた前向きな姿勢を見せるなど、習主席にとってサイバーセキュリティは国家戦略の最優先事項であると考えられます。

こうした中、2015年に中国サイバー法の草案が公開され、同年7月6日から8月5日まで意見公募が行われました。この意見公募においては、中国内外、特に中国でビジネスを展開している多国籍企業や政府、関係団体からさまざまな意見が寄せられました。これを受けて、2016年に二次草案が公開され、再度意見公募が行われました。2回目の意見公募においても、前回と同様にさまざまな企業、関係団体から意見が寄せられました。このような意見公募を2回実施することは、中国における立法行為においては非常に稀であることから、中国政府、あるいは習主席がこの法律を重視しており、広くステークホルダーの意見に耳を傾けていたことが伺えます。

中国サイバー法は、この2回の意見公募を踏まえた改訂を経て、2016年11月7日、全国人民代表大会常務委員会にて3次草案が通過し、2017年6月1日に施行されました。

中国サイバー法の要求事項の特徴

法規制である以上、サイバーリスクへの対応として組織が考慮すべきポイントや、対応が必要となる要求事項が規定されているため、中国でビジネスを展開している企業はこれに沿って対策を進める必要があります。しかしながら、中国サイバー法は必ずしも詳細な技術的対策や体制構築を規定したものではなく、ある程度ハイレベルな記載となっており、そのいくつかは解釈に際して注意が必要です。

(1)「ネットワーク運営事業者」の定義

中国サイバー法における「ネットワーク運営事業者」とは、ネットワークサービスを提供する事業者のことではなく、第76条3項にて規定された「ネットワークオーナー」「ネットワークマネジャー」「ネットワークサービスプロバイダー」を指します。つまり、ビジネスにおいて個人情報を収集し、インターネットを用いたオンラインサービスの提供にかかわる企業や組織を指します。これには、ネットワークセキュリティに関するサービスや製品を提供する企業、Webサイトを通してサービスを提供している企業も含まれます。また、この中には銀行や証券会社のような金融機関も含まれる点に注意が必要です。

(2)「重要な情報インフラ」に求められるもの

第31条では、通信、情報サービス、エネルギー、交通、水資源、金融、公共サービス、電子行政などが、重要な情報インフラとして挙げられています。また、これらの業界が対応すべき領域とその内容はまだ未確定ではあるものの、中国サイバー管理局が2016年にガイダンスの草案を、2017年4月にドラフト版を発行しています。このガイダンスの内容が確定するにはまだ時間がかかると思われますが、特に個人情報保護に関する内容が多数挙げられていることから、今後の対応検討においてはこの内容を考慮しておく必要があります。

(3)個人情報の国外移転制限

原則として、重要な情報インフラ運営事業者が中国国内にて収集、または生成した個人情報や他の重要データは、国内に保持しなければなりません。ビジネス上の理由で、これらのデータを国外に移転する際には、前述の中国サイバー管理局が発行するセキュリティガイダンスに従い、監督当局への報告と、当局によるセキュリティ評価を受けることが求められます(第37条)。

中国サイバー法における個人情報とは、電磁的またはその他の手段によって記録可能なもので、単独で、または他の情報と紐づけることで個人を特定できるものです。例えば、

  • フルネーム
  • 生年月日
  • ID番号(身份证件号码)
  • 生体情報
  • 住所
  • 電話番号

などです(第76条5項)。

なお、この37条に違反した場合、つまり、セキュリティ評価を受けることなく情報を国外に保管したり、国外の事業者に提供した場合は、是正勧告や警告、不法収益の没収、5万~50万元の罰金に加えて、是正のための業務停止、Webサイトの閉鎖、関連する許認可やライセンスの取り消しなどの罰則が科されます。さらに、この件を直接担当する者および直接責任を有する者に対しては、1万~10万元の罰金が科されます。

(4)事業継続の考慮

ネットワーク運営事業者は、システムの脆弱性やコンピュータウィルス、ネットワークへの攻撃や侵入などのリスクへの対応計画の策定が必要となります。また、インシデント発生時には、即座に緊急対応計画を発動し、復旧手段をとることが求められます(第25条)。

重要な情報インフラ運営事業者の場合は、ネットワークセキュリティインシデントに対する緊急対応計画を策定し、定期的に訓練を実施することが求められます(第34条4項)。

(5)定期的なリスクアセスメント

重要な情報インフラ運営事業者は、最低でも年次でのネットワークセキュリティにかかる検査、評価を行うことが求められています。また、その結果は、識別された問題点についての改善計画と併せて監督当局に提出する必要があります(第38条)。

(6)当局への協力

ネットワーク運営事業者は、当局による監督を受け入れる必要があります(第9条)。また、国家安全保障や犯罪捜査において、当局に対して技術的支援を提供し、協力することが求められます(第28条)。

他にも、ネットワークセキュリティに関するログの最低6カ月以上の保存(第21条)、ネットワークサービス提供に際しての実名登録のための本人確認(第24条)、安全管理責任者の設置と、その責任者の経歴審査(第34条)などが定められています。

当局による監視と、ネットワークの遮断

中国サイバー法は、他国におけるサイバー関連規制と同様に、サイバーリスクへの対応を企業、組織に求める条項が多数を占めています。一方で、個人情報の定義や、個人情報の国内保管義務、国外移転制限のように、サイバーリスクとは異なる領域の要求事項も規定されています。このため、一般的なサイバー対応以外の要求事項と、それへの対応として企業がとるべき、あるいは考慮すべき事項にも注意が必要です。

特に、第58条では、国家安全保障上の理由で、当局がネットワーク接続を特定の地域において制限することを認めていますが、これは、ネットワーク接続が当局によって遮断されることを指します。万が一、予告なしに国外とのネットワーク接続が遮断された場合、例えば、大連の拠点に業務をアウトソースしている企業は、その業務が継続できなくなる可能性があります。特に、このアウトソース業務が対顧客にかかわるものであった場合、自社のビジネスに大きな影響を及ぼすことになります。このため、ネットワークが利用できなくなった場合の代替手段や、場合によっては災対環境のような二重化などの手段を検討する必要性も発生します。

中国サイバー法への対応

前述のような中国拠点へのアウトソーシングや、自社または子会社、関連会社が中国国内においてビジネスを展開している多くの日本企業が、中国サイバー法の影響を受けることは想像に難くありません。特に、これまで中国では統一した個人情報保護関連法規制がなく、国外との個人情報のやり取りはあまり制限されていませんでした(個別の業界規制において、個人情報を含む各種データの収集には制限がかけられていました)。

中国サイバー法はすでに施行されているものの、その要求事項についてはまだ曖昧なものも多く、セキュリティ評価のガイドラインについてもまだドラフトという状況です。このため、中国の拠点および日本側においても、即座に対応に着手することは困難であると考えられます。しかしながら、違反に対する罰金や罰則の強化に加え、特に外資系企業については、当局からの制裁を受けた場合の風評リスクも考慮する必要があります。

このように、まだ不透明さが残る状況ではありますが、サイバーセキュリティに関するリスクはグローバルレベルで高まっていることから、当局からのガイダンスの発行を待つのではなく、現時点で自社としてとり得るべき対策を、可能な範囲から着手していくことが望まれます。

執筆者

小滝 健一

シニアマネージャー, PwC Japan有限責任監査法人

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}