中国データセキュリティ法のポイントと日本企業が講じるべき対策

2．規制対象

中国データセキュリティ法は、中国国内で行われる全ての「データ処理」（定義は次段落を参照）に適用されます。また、データ処理活動が国外で行われる場合であっても、中国の国家の安全、公共の利益または公民・組織の利益を害する場合にも適用となります。

同法における「データ」の定義には、紙面か情報システム内かなどの記載媒体を問わず全ての情報が含まれ、規制の範囲は非常に広範囲に及びます。

データの収集、保存、使用、加工、転送、提供、公開などを含むデータのライフサイクル全体に沿って行われる処理活動が「データ処理」と呼ばれ、このデータ処理を行うものが「データ処理者」に該当します。

4．日本企業が講じるべき対策

前述の通り、同法は中国国内の全てのデータ処理に対し適用されることから、中国でビジネスを行うほとんどの日系企業が適用対象となることが考えられます。同法の対象となる企業は、以下の流れで、同法への対応を進めることを推奨します。

1）データマッピングの実施

まずは、自社内でどのような種類のデータをどのようなライフサイクルで取り扱っているか、データフローを洗い出し、現状のデータの取り扱い状況を可視化することが重要です。データマッピングを通して、重要データや中核データの有無、国外移転の状況、当該データに対し現在講じている管理措置等を事前に確認しておくことで、次ステップ以降で各データ処理に対し必要な対応を整理することが容易になります。

2）データ分類ごとの管理方針の策定・実装

データマッピングと並行して、既存のセキュリティポリシーの見直しも必要です。同法では、中核データ、重要データに対し、より厳格な保護措置が求められることから、これらの区分に合わせて社内の情報の機密区分を再定義することが求められます。現時点で各区分に対し求められるセキュリティレベルは具体化されていませんが、アクセス制御や認証、ログの取得・監視、通信セキュリティ、バックアップ、物理的対策等の各種観点で、同法で定義されるデータ区分を考慮したセキュリティレベルの設定が必要だと想定されます。

セキュリティポリシーの見直しが完了すれば、データマッピングで洗い出した各データ区分に対し、当該ポリシーを適用していく流れで実装が可能です。

3）重要データに対するリスク評価の実施

データマッピングの結果、重要データが含まれていることが判明した場合は、重要データを含むデータ処理に対するリスク評価を実施し、評価結果を当局へ報告することが求められます。また、これらは定期的な実施が求められるため、社内規程で定め、恒常的に実行される仕組みを整備しておくことも必要です。

4）国外移転対応

日系企業の場合、多くの企業が、日中間でデータの提供・共有を行っている可能性が高いことが想定されます。データマッピングの結果、国外へ移転しているデータがあることが確認できた場合、データの種別やデータ処理の内容に応じた対応が必要となります。国外移転に関しては、同法だけではなく、サイバーセキュリティ法や個人情報保護法でも規制がなされているため、法令ごとに対応するのではなく、これらのデータ関連の法規制の内容を包括的に整理した上で、対応方針を検討することを推奨します。

5）従業員への教育・定期的な見直し

同法のみに限った話ではありませんが、1)～4)で実施した事項は、一度実行すれば終わりではなく、社内外の状況に応じた定期的な見直し・改善や、従業員教育等により定着化を推進することが不可欠です。PDCAサイクルを回しながら、実施した結果を見直し、改善していくことで、恒常的に機能するガバナンスを整備することが可能です。

前述の1)～5)の各対応は、法律、情報セキュリティ、リスク管理などの多角的観点から考慮が必要です。単独で各部門が推進するのではなく、社内横断的な体制で連携して対応を進めることが重要です。

多くの日本企業が、中国のデータ関連法規制全般（同法に加えサイバーセキュリティ法などを含む）に対し、下位規程等での具体化が不十分であるなどの理由で対応を保留として、静観している様子が見受けられます。しかし、既に同法の違反が指摘され、制裁が科される事例も発生しています。中国で事業を展開する日本企業の経営層は、早急にリスクを把握した上で、社内全体を巻き込み、同法の対応を推進していくことが求められます。