{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
中国サイバーセキュリティ法のポイントと日本企業が講じるべき対策
2022-05-16
1.概要
中国サイバーセキュリティ法(网络安全法)は2017年6月1日に施行された、中国国内におけるサイバースペースに関する基本法です。この法律の施行以降、同法が具体的に適用された事例も増えつつあります。その主な適用対象は中国国内におけるネットワーク運営者、インターネット製品およびサービスの提供者、重要情報インフラ施設運営者などになります。中国に事業展開している日本企業にとっては、従来のコンプライアンスとは異なる、新たに遵守すべき項目の1つとなるでしょう。
本稿では中国サイバーセキュリティ法の主な内容や、いくつかの重要な定義を整理したうえで、日本企業が講じるべき対策について解説します。
2.規制対象
中国サイバーセキュリティ法における「ネットワーク運営者」とは、ネットワークの所有者および管理者、ならびにネットワークサービスの提供者を指すと定義されています。「ネットワーク運営」とは非常に広範な概念であり、ネットワーク運営者が保有するネットワークが外部のインターネットと接続しているか否かを問わず、ネットワーク(LAN、ICS、OA、SNSなど)の所有者および管理者(コンテンツ管理者を含む)、インターネット製品およびサービスの提供者(ISPに限らない)などが対象になっています。以下、同法における2つの重要な概念を説明します。
「インターネット製品およびサービスの提供者」とは、①サイバーツール、各種設備、情報メディア、訪問などを通じて商品やサービスを提供するユーザー、➁ネットワークサービスを提供する業者、③非営利組織を含む、ネットワークを通して情報を提供または取得するためにサービスを提供する組織機構、を指しています。
「重要情報インフラ施設の運営者(CIIO)」とは、公共通信、メディア、エネルギー、交通、水利、金融サービス、公共サービス、電子政府などの重要情報インフラ施設(CII)の運営者を指し、中国サイバーセキュリティ法は重要情報インフラ施設に対する保護をより強化しています。
3.中国サイバーセキュリティ法の主な内容
中国サイバーセキュリティ法はネットワーク運営者等級保護、個人情報保護、コンテンツに関する規制など、ネットワークの運用と情報の双方に多くの法的義務を定めています。詳細は以下のとおりです。
1)サイバーセキュリティ等級保護の実施
サイバーセキュリティ等級の保護はネットワーク運営者の法定義務となっており、履行を怠ると法律違反になりかねません。ネットワークを保有する企業はサイバーセキュリティ等級保護実施義務者となるので、特に注意が必要です。企業が保有するネットワークの等級は、インシデントが起きた際に国のサイバーセキュリティや、法人、個人などに与える侵害の程度によって決まります。
サイバーセキュリティ等級保護は、2019年に制定、改正されたいくつかのサイバーセキュリティ標準・ガイドライン(等級保護2.0)を参照しながら実施することになります。サイバーセキュリティ等級保護の実施は事業者に法的に義務づけられたものであり、社内規程の策定など管理面のみならず、技術面においても保護措置の実施などを要求しています。
2)インターネット製品およびサービスの提供者
インターネット製品およびサービスの提供者が提供するインターネット関連のサービスは、国の強制的標準に適合しなければなりません。提供する製品やサービスにセキュリティ上の欠陥や脆弱性が見つかった場合には、直ちに対処し、当局に報告することなどが求められています。2021年9月には、インターネット製品およびサービスの提供者を主な規制対象とした「インターネット製品セキュリティ脆弱性管理規定」(网络产品安全漏洞管理规定)が施行されました。
3)実名登録制
ネットワーク運営者は、ネットワークを通じてサービスを提供する際に利用者の実名を登録する必要があり、実名が登録されない場合にはサービスを提供してはなりません。また、ネットワーク運営者は、利用者の発信する情報の内容が法律に抵触しないか審査する義務があります。
4)重要情報インフラ施設運営者
重要情報インフラ施設運営者は、データローカライゼーション、年度安全評価、レスポンス体制の構築など、より強固な保護対策を講じることが要求されています。2021年9月1日に施行された「重要情報インフラ施設安全保護条例」は、重要情報インフラ施設に対する保護、管理、認定および運営者の義務などをより具体的に定めています。
重要情報インフラ施設の認定について、中国政府は「内資外資を問わない」としており、中国に事業展開する日本企業も認定対象に含まれます。
重要情報インフラ施設運営者は、中国国内において収集した重要データおよび個人情報を中国国内で保存しなければなりません。
5)管理体制およびレスポンス体制の構築
中国サイバーセキュリティ法は、ネットワーク運営者に対し社内セキュリティ規程の策定、担当者の設置などの整備、またサイバーセキュリティインシデントについてはレスポンス計画の立案、脆弱性の管理、サイバー攻撃への迅速な対応、当局に対する迅速な報告などを要求しています。またログは少なくとも6カ月間保存しなければなりません。
6)責任規定
中国サイバーセキュリティ法は、違反行為に対して是正勧告、警告、罰金、ホームページ閉鎖、営業許可の抹消などの行政処分を科すことができます。また、違反者の信用情報リストへの記載、責任者に対する罰金といった行政処分、損害賠償責任や刑事責任についての規定も整備されています。情報セキュリティに係る違反行為に対し、組織に対しては罰金処罰、担当者に対しては終身同業に従事することを禁止するという処罰が科せられた事例も実際にあります。
4.日本企業が講じるべき対策
中国サイバーセキュリティ法が2017年6月1日に施行されて以降、関連する法令、標準、ガイドラインが続々と制定されています。また、同法に基づく行政処分も頻繁に執行されています。中国サイバーセキュリティ法に対応するには、各企業が個人情報管理規程を策定し、運用プロセスを構築し、必要な体制を整えるだけでは不十分です。等級保護対応の観点から、自社で運用するシステムに対し技術的な保護措置を導入することも必要となります。また、法令で定められる規定の追加や、当局規制動向の変化についてもリスク管理の一環として目を配っておく必要があります。
これらの理由から、中国サイバーセキュリティ法に対応するには、単純な法令対応業務として法務部門や総務・リスク管理部門が個々に対応を進めるのではなく、情報システム部門やDX関連部門との連携対応が不可欠です。次に、各部署において対応を進める上での役割分担の例を以下に示します。
1)法務、総務・リスク管理部門に求められる役割
法務、総務・リスク管理部門は主に、中国サイバーセキュリティ法の要求事項を自社の関連規定に取り込み、運用するプロセスおよび体制の整備を担当します。中国サイバーセキュリティ法は、同法に基づいて認定した等級に応じた保護措置を企業に要求します。
その対応手順としては、自社が保有する各システムがいずれの等級に合致するかをまず判定します。判定結果を踏まえ、等級ごとに定められている要求事項と、自社におけるデータの取得および管理状況や、セキュリティ体制とのGAP分析を行います。この分析の結果、もし要求事項が満たされていない部分が見つかれば規程類を新たに策定したり、運用のプロセスや体制を見直したりするなど、自社のセキュリティ体制を整備し直します。なお、等級保護対応に伴う自社のセキュリティ体制を改善するにあたっては、情報システム部門やDX関連部門との連携が不可欠です。
等級が第二級以上と認定された場合、当局への届け出対応が必要となります。加えて、重要情報インフラ施設運営者とみなされ得る企業は、データローカライゼーション規制などへの対応が追加で必要となります。そのため企業の担当者には、当局の公開情報を基に自社の顧問弁護士や上層部などと相談し、当局から重要情報インフラ施設運営者とみなされた場合の対応方針を事前に決めておくことが求められます。そして、法務部が中心となって関係者との連携を図り、どの程度の対応が必要か、どのように対応すべきか、といったことを検討する必要があります。
リスク管理の観点では、政府当局が施行する規制の動向を捉え、優先度の高いリスクへの対応が必要です。実際に、中国サイバーセキュリティ法に関連するさまざまな制度やガイドラインなどが追加で発行され続けています。例えば、データセキュリティ法や個人情報保護法では、データの取扱いについてより詳細な規制が定められており、サイバーセキュリティ法と併せて対応することが求められます。関連する法制度を含め、必要な措置やリスク管理を講じるため、企業の法務部門、総務・リスク管理部門には、関連部署と連携の上、速やかに対応していくことが望まれます。
2)情報システム部、DX関連部門に求められる役割
企業の情報システム部門およびDX関連部門は主に、等級認定で定められた要求事項に沿ったセキュリティ保護措置のシステムへの導入を担当します。中国サイバーセキュリティ法の技術的要求事項は、クラウドシステムや、IoTなども規制対象に含みます。例えば、クラウドシステムを導入し、中国国内と他国との間でデータの伝送を行っている企業は、技術的要求事項に沿ったシステム対応が必要となります。手順としては、自社の各システムがどのようなセキュリティ保護措置を導入しているかを整理し、不足しているセキュリティ保護措置をシステムに組み込みます。対応にあたっては、等級認定および自社の規程内容に応じたセキュリティ保護措置が求められるため、法務部門や総務・リスク管理部門との連携が不可欠です。
また、中国と他国との間でデータを越境伝送する企業は、越境移転規制や、データローカライゼーション規制への対応も考慮する必要があります。各システムについて、どのようなデータを中国国外へ越境伝送しているのかを把握するだけでなく、サーバーの所在国、データの取得・伝送・保管の在り方についても見直す必要があります。
以上のように、中国で事業を展開する日本企業は等級保護制度への対応を中心に自社の状況を確認し、各部署が連携して関連する法規制に対応する必要があります。また、社内規程の改定や、インシデントレスポンス体制の構築、情報セキュリティ担当者の設置なども欠かせません。従来型のコンプライアンス対応と異なり、技術的側面からも相応の対策を実施することも求められます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
