中国サイバーセキュリティ法施行後の状況

2018-11-30

欧州における個人情報保護規制となる一般データ保護規則(GDPR)が今年5月に適用開始となり、多くの日本企業が対応を進めています。また日本国内においても、昨年5月の改正個人情報保護法や一昨年のマイナンバー対応など、近年、個人情報に関わる法規制への対応が不可欠となっています。

その一方、昨年6月に施行された中国サイバーセキュリティ法について、日本企業が対応を進めているという話を耳にすることはそれほど多くありません。むろん中国に拠点を設置し、ビジネスを展開している企業は現地においてなんらかの形で対応を進めていることでしょうが、日本本社における中国サイバーセキュリティ法についての認識は、それほど高くないものと思われます。

本コラムでは、昨年7月に中国サイバーセキュリティ法の制定に関わる背景や要求事項について紹介しました(『施行後も対応すべき内容が不透明な中国のサイバーセキュリティ法』)。今回は、中国サイバーセキュリティ法の施行から1年が経過した現時点での適用状況について紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

中国サイバーセキュリティ法は、「サイバーセキュリティ」と「個人情報保護」を規制

前回のコラムでも紹介したように、中国サイバーセキュリティ法は、企業に対してサイバーセキュリティ対策を求めることに加え、中国国民の個人情報の取り扱いを制限する内容を含んでいます。名称に「サイバーセキュリティ」とあるものの、個人情報保護の要求事項が含まれており、昨今の他国における個人情報保護に関する法規制と同様、国外移転制限等への対応が必要となる旨は、前回説明したとおりです。

一方で、その名称が示すとおり、サイバーセキュリティに対する規制という点では、中国国内における企業に対してサイバーセキュリティ対策を求めるものです。本法では中国政府による規制強化、具体的にはサイバーセキュリティ機器に対する中国当局の認証の義務付け、無予告でのネット接続遮断、さらには公安当局への技術的支援(これは自社の情報システムについて、そのデータを含めて当局に開示することを意味します)が規定されています。中国では、以前から大手ソーシャル・ネットワーキング・サービス(SNS)への接続ができなくなっています。また一部のWebサイトへのアクセスが遮断されるなど、インターネットの利用について制限がかけられています。中国サイバーセキュリティ法は、このような制限を適法化したことに留まらず、国家安全保障のためにサイバー空間における政府の権限を行使することを可能としたものです。

多くの日本企業が中国国内に拠点を設け、幅広くビジネスを展開し、インターネットをはじめとするさまざまなネットワークや情報技術を活用しています。そのような状況下、これらの規制は現状の管理策への負担を増すだけではなく、さまざまな局面――特に自社環境について「当局の要請」があった場合において、対応が必要になることを意味します。

中国当局による法規制の執行状況

中国サイバーセキュリティ法施行から1年が経過していますが、施行時点では法律の具体的な内容を補足するためのガイドラインはあまり出ておらず、その後もいくつかのドラフト版が公開されている程度です。このような状況下、既に当局による積極的な指導が行われています。

最初にこの法律に基づく執行がなされたのは、大手を含む中国国内のネット系企業に対してでした。施行後、4か月程度の間でのことです。これらの企業が行政指導や罰金を科された違反理由はさまざまですが、セキュリティ評価結果の改善不備やユーザーログの未保持、ウイルス対策の不備のようなサイバーセキュリティ対策が十分でなかったことに加えて、オンライン上での機微情報の取り扱い、自社が提供しているサービスの中で好ましくない情報が拡散していたことへの対応が行われていなかったことが含まれています。同様の動きは、中央政府だけではなく、地方政府においても見受けられます。広東省では、中国の大手電子商取引企業の関連会社を含むネットワーク業者が、禁止された情報の拡散に加えて、実名登録がされていなかったことで処分を受けています。

個人情報の取り扱いに関わるあらたな基準の公開

中国サイバーセキュリティ法における個人情報保護についても、新たな動きがありました。2018年1月に情報セキュリティ技術に関わる基準となる”Personal Information Security Specification”(通称、”Specification”)が適用開始となりました。この基準自体は、法律のような拘束力は無いものの、中国における個人情報保護において、中国当局が処分を科す場合に参照されるものとなります。

このSpecificationでは、個人情報の取得、利用、保管および第三者との共有や移転などにおけるセキュリティ対策のベストプラクティスが挙げられています。また、個人情報の取得に際しての通知や同意の取得、データ主体の権利のような一般原則についても規定されています。さらに、機微な個人情報が定義され、その取得や利用に際しては特別な要求事項が規定されています。機微な個人情報の例としては、金融資産情報や、社会保険番号、パスポートや運転免許証、生体情報などが挙げられています。
ほかにも、このような個人情報を取得する際に開示すべき内容や、それを踏まえたプライバシーポリシーのサンプル、目的に沿った情報のみを取得すること(最小化の原則)、第三者から個人情報を取得する場合は取得元の情報や同意取得状況(第三者への提供や移転についての同意を含む)についての確認が必要なこと、または暗号化、目的外の利用禁止など、近年のグローバルにおける個人情報保護関連法規制に沿った要求事項が並んでいます。

このSpecificationは、当局による執行に際して参照されるものですが、その内容は他の個人情報保護関連法規制と同様のものです。そのため、中国外の本社で定めた個人情報保護に関わる方針が中国の拠点において適用されている場合は、まずはその適用状況を点検することが、当局による処分を受けないためのファーストステップになると考えられます。

中国において過去最大の個人情報漏えい事件が発生

2018年8月末、大手を含むインターネットサービス企業96社から、30億件の個人情報が不正アクセスによって窃取されました。件数の大きさ、中国における過去最大の情報流出であること、この窃取の首謀者がIT企業の経営者であったことなどから、本件は現地ではサイバーセキュリティと個人情報保護の双方の観点で注目を集めています。

結果として、警察の捜査によって首謀者が逮捕されたものの、本件の重大性から、今後、中国におけるサイバーセキュリティや個人情報保護について規制が強化される可能性があります。

日本企業に求められる中国サイバーセキュリティ法対応

中国サイバーセキュリティ法は、企業におけるサイバーセキュリティ対策や個人情報の保護への取り組みというよりは、国家による指導の明確化、適法化を目的として制定されたものと考えられます。実際にそのような観点での検査や処分が行われています。このため、中国サイバーセキュリティ法は、諸外国における法規制とは異なる位置づけであると言えます。こうした中で個人情報に関わる大規模インシデントが発生したことで、中国当局が指導、監督を強化する方向に舵を取ることは、諸外国でも同様の対応がとられるケースが多いことから、想像に難くありません。
中国サイバーセキュリティ法を補足する各種ガイドラインがまだ整備されていない現状において、Specificationのような個別具体的な基準が発行されたことから、企業はこれに沿ってより具体的な対応を進める必要性が生じています。

PwC中国においても、日本企業を始めとした多くの企業に対する支援業務が増加しています。施行後の当局の動向を受け、対応の必要性を認識し、外部からの支援を検討し始めた企業が多くあると思われます。特に、中国サイバーセキュリティ法の執行機関は、従来とは異なる行政組織によるものであるため、これまで築いてきた当局との関係性が必ずしも通用するわけではないという点が課題として挙げられています。

本コラムでは、主に中国サイバーセキュリティ法が施行された後のアップデート情報を中心に解説してきましたが、個別の規制や要求事項の内容、現地における対応状況については、改めて機会を設けてご紹介する予定です。

小滝 健一

ディレクター, PwCあらた有限責任監査法人

Email

最新のシステムプロセスアシュアランス部コラム


関連情報

Contact us

Follow us