中国における自動車セキュリティに関する法規制（下）

はじめに

中国は次世代自動車ICVの開発を国家戦略として推し進める中、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法（以下、「中国サイバー三法」）のほか、ICVサイバーセキュリティ、データセキュリティ関連法規制、遠隔アップデート（OTA）によるリコール規制、標準などを次々に制定しています。中国の自動車マーケットに参入する企業にとって、これらのICV関連法規制・標準はクリアしなければならない重要な課題になるでしょう。

中国サイバー三法以外に、ICVサイバーセキュリティ、データセキュリティに関する主な法規制として、工業情報化部の「ICV生産企業および製品参入管理強化に関する意見」、自動車データセキュリティに関する国家インターネット情報室主導の「自動車データセキュリティ管理若干規定（試行）」が挙げられます。また、標準の制定計画にはUNR155*¹、UNR156*²、ISO/SAE21434*³、ISO/PAS5122*⁴に類似した標準が含まれています。

本稿では執筆時点（2022年3月）におけるICVに関するサイバーセキュリティ、データセキュリティ、OTA規制など主要な法規制について解説します。

ICV生産企業および製品参入管理強化に関する意見

中国工業情報化部は2021年7月30日、「ICV生産企業および製品参入管理強化に関する意見」（以下、「ICVアクセスガイド」）を公表しました。ICVアクセスガイドは、ICVを生産する企業や、その関連製品を提供する企業の参入に対する規制という位置づけになります。その内容は主に「サイバーセキュリティ」「データセキュリティ」「OTA規制」「品質管理」「サポート措置」の5項目から構成されています。

具体的には、ICVを生産する企業や関連製品を提供する企業に対して、

中国サイバー三法に基づく情報セキュリティガバナンス、データセキュリティガバナンスを構築すること
OTAを備える自動車の場合、生産者は相応する管理能力を有することや、製品の品質の一貫性を保証すること
補助運転・自動運転機能を備える場合、ユーザーにその性能、限界、設備の指示機能、オン／オフ方法などを明確に告知すること
補助運転機能の場合、ハンズオフテストを実施すること
自動運転機能の場合、異常を検知してリスク低減措置を起動できること、またヒューマンコンピューターインタラクション（HCI）を装着すること、自動運転システムの運行状態を表示すること、運転手状況を検知すること、V2V交信を可能とすること、データを記録すること、プロセスアシュアランスとテスト要件をクリアすること、SOTIFに対応すること、サイバーセキュリティ要件を満たすこと

など詳細な要件を定めています。

アクセスガイドはさらに、参入審査などの管理監督、標準体系の構築などを通じたICV関連技術、サイバーセキュリティ、データセキュリティといった各種能力を工業情報化部は向上させるとしています。また参入企業に対しては、自社販売後の製品に対する自己検査、改善などを通じた保障を求めています。

自動車データセキュリティ管理若干規定

中国自動車分野におけるデータセキュリティ法規制となる「自動車データセキュリティ管理若干規定（試行）」が2021年10月1日に施行されました。これは中国国家インターネット情報室主導のもと、国家発展改革委員会、工業情報化部、公安部、交通運輸部など5部門が共同で制定した規制です。

同規定は、自動車データ、そしてその処理者の定義や義務を明確にし、自動車データとしての重要データ、個人情報の規制に焦点を当てています。

自動車データの定義や内容については、以下の通り詳細な規定が設けられています。

自動車データとは、自動車の設計、生産、販売、使用、O&Mなどのプロセスにおける個人情報と重要データを指すこと
自動車データ処理者とは、自動車の製造者、部品とソフトウェアの提供者、販売者、メンテナンス修理および配車サービスの提供者を含む、自動車データ処理活動を行う組織を指すこと
国家機関の所在地をはじめ一部の地理情報、充電設備、人の顔情報、車両情報、10万人を超える個人情報などは重要データに該当すること
自動車データはデフォルトで収集しないこと。また、カメラ・レーダーなどの精度および解像度は自動車走行に必要な範囲内に限定し、匿名化・輪郭化といった処理を行うこと。さらに、データ処理活動は車内範囲に限定すること
個人情報に関する告知事項は、ユーザーマニュアル、車載パネル、音声、アプリケーションなどわかりやすい方法で伝えること
センシティブな個人情報や、同意なく収集した個人情報の処理方法など
重要データ・個人情報は中国国内に保存し、重要データの処理状況については毎年リスク評価を行い、主管部門に報告すること
重要データの国外移転に関する評価項目など

遠隔アップデート（OTA）技術によるリコールに関する監督管理通知

中国市場監督管理総局は2020年11月、「遠隔アップデート（OTA）技術によるリコールに関する監督管理通知」を発し、OTAによりアフター技術サービスを行っている場合は「欠陥自動車製品リコール管理条例」および「欠陥自動車製品リコール条例実施弁法」により、市場監督管理総局に届出を行い、OTAにより欠陥あるいは瑕疵を有効に対処できない場合、リコールすることを求めています。

販売済みの自動車に対してOTAを実施する場合は届出を行う必要があり、製造、販売、輸入済みの自動車あるいはOTA実施中の自動車が、中国のマーケットにおいてサイバー攻撃を受けた場合、生産者は直ちに調査分析を行い、市場監督管理総局品発展局に調査結果を報告しなければなりません。

今後実施すべきアクション

今後、ICVが主流となる中国自動車マーケットに参入するためには、中国の自動車セキュリティ関連の法規制・標準をタイムリーに把握し、その対策を講じていくことが求められます。

中国に事業展開する自動車関連企業は、情報システム管理体制を構築するのみならず、自動車関連データのローカライゼーション、データの収集、利用、処理または国外移転など、データガバナンス体制やOTA規制などについて、中国サイバー三法、ICV関連その他の法規制・標準の制定・施行状況を随時確認し、対策を講じる必要があります。

（上）はこちら

^*1 United Nations Economic Commission for EuropeのWP29において策定された自動車のサイバーセキュリティ対応の国連標準です。詳細は、https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/unr155-wp29-csms.htmlをご参照ください。

^*2 United Nations Economic Commission for EuropeのWP29において策定されたプログラム等改変システムに係る協定規則です。詳細は、https://www.pwc.com/jp/ja/industries/auto/wp29-unr156-sums.htmlをご参照ください。

^*3 ISO/SAE 21434は、車両のライフサイクル全体を通じてサイバーセキュリティ活動に関するプロセスを定義することを目的とした国際標準規格です。詳細は、https://www.pwc.com/jp/ja/knowledge/thoughtleadership/automotive-security/vol01.htmlをご参照ください。

^*4 ISO/PAS5122は、自動車サイバーセキュリティエンジニアリングを監査するためのガイドラインになります。詳細は、https://www.iso.org/standard/80840.htmlをご参照ください。

車両サイバーセキュリティの未来

車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。

詳細はこちら