中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
はじめに
中国は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法などデジタル分野の規制を補完、強調、具体化する目的で、中国ネットワークデータセキュリティ条例(中国語名称:网络数据安全管理条例)(以下「条例」という)*1を制定しました。条例は、2025年1月1日から施行されています。
条例は主に個人情報保護、重要データ、データの越境移転、製品セキュリティなどについて補足的な規定を設けています。中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整ないし明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。中国サイバー三法についてすでに対応を進めている場合や、対応済みの場合、その差分を確認する必要があります。違反行為については、条例で新たに規定された内容に対してのみ罰則を設けており、サイバーセキュリティ法、個人情報保護法、データセキュリティ法などへの違反となる行為については各法令によって罰することになります。
図表1:中国ネットワークデータセキュリティ条例
ネットワークデータの定義と域外適用
条例の規制対象は、「ネットワークデータ」の処理活動になります。「ネットワークデータ」は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法などで定義されるすべてのデータを包含する定義となっており、個人情報および非個人情報をまとめた概念です。
また。国外で行われるネットワークデータ処理活動が中国の国家安全、社会の利益ないし個人・組織の権益を害する場合に、条例は域外適用効力を有することになっています。これにより、個人情報の処理のみならず、非個人情報の国外における処理活動に対しても法規制が及ぶことになりました。
図表2:ネットワークデータの定義と域外適用
| 規制対象 | ネットワークデータの処理活動 |
| 定義 | ネットワークを経由して処理および生成するすべての電子データを指す。ネットワークデータには、サイバーセキュリティ法、データセキュリティ法、個人情報保護法などにおいて定義されているすべてのデータが含まれる |
| 域外適用 | ネットワークデータの処理活動が中国の国家安全社会の利益ないし個人・組織の権益を害する場合に域外適用があり |
重要なコンプライアンス事項の強調
条例は、既存のサイバーセキュリティ法、データセキュリティ法、個人情報保護法などにおける重要なコンプライアンス事項を補完ないし強調する内容を規定しています。例えば、AIで使用するデータの合法性、等級保護の実施、製品・サービスの脆弱性対応、インシデント報告、データの委託処理の際の契約、セキュリティ対策などについて図表3の通り規定しています。
図表3:既存法令内容の補完・強調
個別規定:個人情報保護、重要データ保護、越境移転、プラットフォーマー規制
条例は、個人情報の保護、重要データセキュリティ、ネットワークデータ越境移転、プラットフォーマーの義務について特別に規定しています。製品セキュリティについて、プラットフォーマーに対する規制に含めて規制する内容となっている点に注意が必要です。
個人情報保護
条例は、個人情報保護に関してプライバシーポリシーの策定内容、本人指定の第三者対応、また外国において中国居住者の個人情報を取り扱う場合の代表者設置義務の履行、コンプライアンス状況の監査などについて規定しています。特に個人情報管理に関する専門組織などの構築に関する人数基準を緩和しています。
- プライバシーポリシーを策定し、目立つ場所に公開する
- 収集する個人情報について目的、範囲、方法などをリスト式で公開する
- 14歳未満の個人情報を取り扱う場合、別途プライバシーポリシーを策定する
- 本人権利行使の方法を提供し、遅滞なく対応する
- 自動化収集などにより本人同意が取得できない場合、削除あるいは匿名化処理を行う
- 本人の指定する第三者の個人情報へのアクセスを確保する
- 個人情報保護法における「代表者」設置義務を履行する
- 個人情報保護法コンプライアンス状況について監査を実施する
- 1,000万人以上の個人情報を取り扱う場合、専門部署と責任者を設置する
重要データ保護
重要データは、当局の作成する重要データカタログによって管理されることになっており、2024年3月の「データ越境移転に関する規定」*2において規定されている「当局によって重要データであると告知または公開されていないデータは重要データに該当しない」ことをより明確にしました。
当局が作成する重要データカタログに掲載される重要データを取り扱う組織は、ネットワークデータに関する専門部署とネットワークデータ業務に関する専門知識のある責任者を設置しなければなりません。重要データの取り扱い状況について毎年リスク評価を行い、その結果を当局に報告する必要があります。大型プラットフォーマーの場合はさらに、リスク評価報告書で主要業務とサプライチェーンのセキュリティ状況も説明しなければなりません。
ネットワークデータの越境移転
越境移転可能なネットワークデータは以下の通りです。特に、重要データに関して、関連当局から重要データであると告知、公開していないものについて安全評価を行う必要はありません。
- 安全評価に合格した場合
- 指定の認証機関により個人情報保護認証済みの場合
- 標準契約による越境の場合
- 個人が当事者となる契約の締結、履行のための個人情報移転
- 就業規則など労働管理制度および締結済みの労働集団契約に基づく労務管理の需要による個人情報移転
- 法定職責、義務履行のための個人情報移転
- 緊急時個人の生命健康および財産の保護のための個人情報移転
- その他法律法規による場合
プラットフォーマー規制
プラットフォーマー、IoT機器の製造者などは、サードパーティー製品やサービス提供者のネットワークデータ保護、サイバーセキュリティ対策に関する要求です。データ、サイバーセキュリティ関連でユーザーに損害を与えた場合、プラットフォーマー、製造者、サードパーティーはその責任を追うこととなっており、製品製造者も注目すべき法令です。
そのほかにも、大型プラットフォーマーの社会責任報告書の公開、差別のないアルゴリズムの使用など義務を強調しています。
まとめ
条例は中国のサイバーセキュリティ法、データセキュリティ法、個人情報保護法に対して、その重要な内容の補足、強調などを規定しており、中国で事業を展開する企業にとって注目すべき内容となっています。中国サイバー三法についてすでに対応を進めている場合や、対応済みの場合、その差分を確認する必要があります。
*1 中国ネットワークデータセキュリティ条例(2024年10月8日閲覧)
https://www.cac.gov.cn/2024-09/30/c_1729384452307680.htm
*2 データ越境移転に関する規定(2024年10月8日閲覧)
https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
中国におけるサイバーセキュリティ、データセキュリティ関連の重要な法令解説
6 results
Loading...
中国個人情報保護法のポイントと日本企業が講じるべき対策
2021年11月1日に施行された「中国個人情報保護法」は、中国で個人情報の保護を包括的に規定する初めての法律です。違反した際には、高額な制裁(最大で5,000万元、または前年度売上の5%の罰金)が科されるリスクがあり、域外にも適用されることから、中国に対し事業を展開する日本企業は早急な対応が求められます。
中国データセキュリティ法のポイントと日本企業が講じるべき対策
2021年9月1日から施行された中国データセキュリティ法は国家安全保障における重要な法令として位置づけられています。本稿では、データセキュリティ法の概要、および日本企業が取り組むべき対策についてご紹介します。
中国サイバーセキュリティ法のポイントと日本企業が講じるべき対策
本稿では、中国サイバーセキュリティ法におけるいくつかの重要な定義と主な内容を整理したうえ、日本企業が講じるべき対策について考えます。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
