中国サイバーセキュリティ法のポイントと日本企業が講じるべき対策

2．規制対象

中国サイバーセキュリティ法における「ネットワーク運営者」とは、ネットワークの所有者および管理者、ならびにネットワークサービスの提供者を指すと定義されています。「ネットワーク運営」とは非常に広範な概念であり、ネットワーク運営者が保有するネットワークが外部のインターネットと接続しているか否かを問わず、ネットワーク（LAN、ICS、OA、SNSなど）の所有者および管理者（コンテンツ管理者を含む）、インターネット製品およびサービスの提供者（ISPに限らない）などが対象になっています。以下、同法における2つの重要な概念を説明します。

「インターネット製品およびサービスの提供者」とは、①サイバーツール、各種設備、情報メディア、訪問などを通じて商品やサービスを提供するユーザー、➁ネットワークサービスを提供する業者、③非営利組織を含む、ネットワークを通して情報を提供または取得するためにサービスを提供する組織機構、を指しています。

「重要情報インフラ施設の運営者（CIIO）」とは、公共通信、メディア、エネルギー、交通、水利、金融サービス、公共サービス、電子政府などの重要情報インフラ施設（CII）の運営者を指し、中国サイバーセキュリティ法は重要情報インフラ施設に対する保護をより強化しています。

4．日本企業が講じるべき対策

中国サイバーセキュリティ法が2017年6月1日に施行されて以降、関連する法令、標準、ガイドラインが続々と制定されています。また、同法に基づく行政処分も頻繁に執行されています。中国サイバーセキュリティ法に対応するには、各企業が個人情報管理規程を策定し、運用プロセスを構築し、必要な体制を整えるだけでは不十分です。等級保護対応の観点から、自社で運用するシステムに対し技術的な保護措置を導入することも必要となります。また、法令で定められる規定の追加や、当局規制動向の変化についてもリスク管理の一環として目を配っておく必要があります。

これらの理由から、中国サイバーセキュリティ法に対応するには、単純な法令対応業務として法務部門や総務・リスク管理部門が個々に対応を進めるのではなく、情報システム部門やDX関連部門との連携対応が不可欠です。次に、各部署において対応を進める上での役割分担の例を以下に示します。

1）法務、総務・リスク管理部門に求められる役割

法務、総務・リスク管理部門は主に、中国サイバーセキュリティ法の要求事項を自社の関連規定に取り込み、運用するプロセスおよび体制の整備を担当します。中国サイバーセキュリティ法は、同法に基づいて認定した等級に応じた保護措置を企業に要求します。

その対応手順としては、自社が保有する各システムがいずれの等級に合致するかをまず判定します。判定結果を踏まえ、等級ごとに定められている要求事項と、自社におけるデータの取得および管理状況や、セキュリティ体制とのGAP分析を行います。この分析の結果、もし要求事項が満たされていない部分が見つかれば規程類を新たに策定したり、運用のプロセスや体制を見直したりするなど、自社のセキュリティ体制を整備し直します。なお、等級保護対応に伴う自社のセキュリティ体制を改善するにあたっては、情報システム部門やDX関連部門との連携が不可欠です。

等級が第二級以上と認定された場合、当局への届け出対応が必要となります。加えて、重要情報インフラ施設運営者とみなされ得る企業は、データローカライゼーション規制などへの対応が追加で必要となります。そのため企業の担当者には、当局の公開情報を基に自社の顧問弁護士や上層部などと相談し、当局から重要情報インフラ施設運営者とみなされた場合の対応方針を事前に決めておくことが求められます。そして、法務部が中心となって関係者との連携を図り、どの程度の対応が必要か、どのように対応すべきか、といったことを検討する必要があります。

リスク管理の観点では、政府当局が施行する規制の動向を捉え、優先度の高いリスクへの対応が必要です。実際に、中国サイバーセキュリティ法に関連するさまざまな制度やガイドラインなどが追加で発行され続けています。例えば、データセキュリティ法や個人情報保護法では、データの取扱いについてより詳細な規制が定められており、サイバーセキュリティ法と併せて対応することが求められます。関連する法制度を含め、必要な措置やリスク管理を講じるため、企業の法務部門、総務・リスク管理部門には、関連部署と連携の上、速やかに対応していくことが望まれます。

2）情報システム部、DX関連部門に求められる役割

企業の情報システム部門およびDX関連部門は主に、等級認定で定められた要求事項に沿ったセキュリティ保護措置のシステムへの導入を担当します。中国サイバーセキュリティ法の技術的要求事項は、クラウドシステムや、IoTなども規制対象に含みます。例えば、クラウドシステムを導入し、中国国内と他国との間でデータの伝送を行っている企業は、技術的要求事項に沿ったシステム対応が必要となります。手順としては、自社の各システムがどのようなセキュリティ保護措置を導入しているかを整理し、不足しているセキュリティ保護措置をシステムに組み込みます。対応にあたっては、等級認定および自社の規程内容に応じたセキュリティ保護措置が求められるため、法務部門や総務・リスク管理部門との連携が不可欠です。

また、中国と他国との間でデータを越境伝送する企業は、越境移転規制や、データローカライゼーション規制への対応も考慮する必要があります。各システムについて、どのようなデータを中国国外へ越境伝送しているのかを把握するだけでなく、サーバーの所在国、データの取得・伝送・保管の在り方についても見直す必要があります。

以上のように、中国で事業を展開する日本企業は等級保護制度への対応を中心に自社の状況を確認し、各部署が連携して関連する法規制に対応する必要があります。また、社内規程の改定や、インシデントレスポンス体制の構築、情報セキュリティ担当者の設置なども欠かせません。従来型のコンプライアンス対応と異なり、技術的側面からも相応の対策を実施することも求められます。