中国サイバーセキュリティ法対応支援 日系企業における中国サイバーセキュリティ法への対応状況

1.はじめに

2017年6月から施行されているサイバーセキュリティ法に加え、2019年12月にその適用範囲を拡大して施行された新しい等級保護制度や改稿が重ねられた個人情報安全規範など、中国におけるデジタル・データ保護の規制は、その複雑さとビジネスへの影響から、現地企業のみならずグローバル企業におけるデジタルガバナンス実現に向けた大きな障壁となっています。PwCはこうした情勢を踏まえ、日系企業におけるセキュリティやプライバシーに関する対応プログラムや実施状況を明らかにし、多くの企業のベンチマークとして活用するため、2020年3月に日系企業531社を対象にアンケート調査を実施しました。

今回の調査では、デジタルガバナンス体制の構築・運用を着実に行っている企業とそうでない企業の差が、中国サイバーセキュリティ法への対応で顕著に現れたと言えます。グローバル規模でのセキュリティプログラムの計画策定やレビューを着実に行い、グローバルで実績のあるコントロールフレームワークを採用している企業では、実効性のある対応に成功しているという結果が得られました。加えて、ITへの投資が限られる中、グループ内にセキュリティ人材を十分に配置しつつ、現地の事情を勘案したアウトソースを行うことで中国特有の制度対応を行っていることも読み取ることができました。

2.中国サイバーセキュリティ法と関連規制に関する対応状況

(1)概況

まず、中国サイバーセキュリティ法とその関連規制への対応状況についてです。現在何らかの対応を行っている企業は、全体の半数に留まることが分かりました。業種別で見ると小売(84%)、医療(75%)での対応が比較的進んでいる一方で、金融(43%)や電気通信(40%)では対応が芳しくない状況でした。また、全体の7割以上の企業が日本で開発または運用する情報システムを中国でのビジネスで利用しており、中国サイバーセキュリティ法とその関連規制の適用を受ける可能性があることも判明しました。

重要データや個人データの取り扱いに関して強い規制が課される金融・電気通信業界の企業においても対応が進んでいないことが明らかになりました。

次に分野別の対応状況についてです。等級保護制度対応を含む情報セキュリティの実装や運用保守体制、IT購買・調達のプロセス、個人情報保護、重要データなどの越境プロセスといった全7分野の対応状況を確認したところ、網羅的に対応を実施中・実施済みである企業は全体の10%を下回り、多くの日系企業が中国サイバーセキュリティ法の全体像を把握できず、デジタル領域におけるコンプライアンスリスクを抱えていることが浮き彫りとなりました。

対応分野別では、等級保護制度(36%)やデータ移転(40%)など中国の制度特有の分野で対応が進んでおらず、一方で、リスク評価・分析(78%)やインシデントレスポンス(64%)に係る対応を進めていることが分かりました。制度の正しい理解が十分でないままでリスク評価やインシデントレスポンスなどのプロセスを整備しても対応が不十分に終わる可能性が高く、早急に専門家の活用などを通して制度を理解することが求められます。

中国サイバーセキュリティ法対応が進んでいない理由として、多くの企業から「制度の複雑さや商習慣の違い」に加えて、「ITやセキュリティに対する予算や人材不足」といった要因が寄せられました。

(2)対応が進んでいる企業の特徴

対応が進んでいる企業と他の企業の違いを考察するために、まず、図表3と図表4の通り、IT投資とセキュリティ人材の観点で比較を行いました。IT予算の面では、対応を進めている企業よりもむしろ未着手な企業のほうが潤沢とも見て取れます。他方でセキュリティ人材については、対応中の企業は十分なリソースを確保しており、少ない予算の中でもセキュリティ人材を適切に登用することでセキュリティプログラムを着実に進めていることを読み取ることができました。

中国サイバーセキュリティ法の特性を踏まえて適切な対応を進めている企業は、セキュリティ人材の豊富さに加えて、どのような特徴を有しているのでしょうか。全体と顕著な差が出た領域は、「経営層による関与」、「フレームワークの利用」、「外部専門家の活用」でした。

図表4および図表5にある通り、対応を適切に進めている企業の8割で経営層が最高情報セキュリティ責任者(CISO)を担っており、かつ全ての企業が情報セキュリティに関するグループ全体ないしは個社における計画の策定と評価を実施しています。日系企業が中国に限らず海外に進出する場合、ITないしはセキュリティ担当が専任で赴任・現地採用されるケースは限定的です。それゆえ、グループの本社に現地の声が届かなかったり、本社のガバナンスが効かなかったりすることは想像に難くありません。特にグローバルのデジタルガバナンスにおいて経営層の役割や責任は重要であり、その明文化と実際の運用の有無が、中国サイバーセキュリティ法への対応状況という点で如実に表れたと言えるでしょう。

続いて、図表6では、各社で採用している情報セキュリティに関するフレームワークについて表しています。今回、対応が進んでいる企業の全てが何らかのフレームワークを採用していることが分かりました。一方で、対応が遅れている企業は全社的なコントロールフレームワークの採用に踏み切れていないことも読み取れました。中国サイバーセキュリティ法については、その解釈の複雑さが特徴として挙げられる一方で、サイバーセキュリティの要求事項そのものについては、グローバルで用いられるフレームワークと大きな差がないことはあまり知られていません。NISTのサイバーセキュリティフレームワークやISO/IEC27001(情報セキュリティマネジメントシステムの国際規格)などを活用して自社のコントロールルールを策定している企業は、中国サイバーセキュリティ法の対応の素地が十分にできていたと考えられます。

最後に、外部専門家の活用についてです。全体の傾向として約3割の企業が自社内で対応を進めている中、対応が進んでいる企業の9割以上は十分な内部リソースがあることに加えて、日中それぞれの弁護士やコンサルティングファームへのアウトソースを積極的に行っていました。中国サイバーセキュリティ法への対応に当たっては、それぞれの企業のビジネスや情報システムに合わせて、法律の観点からマネジメントシステムの構築・見直し、システムの実装が求められます。このことから、特に全体のアセスメントやロードマップ策定、プロジェクトマネジメントといった領域で外部リソースを積極的に活用していったと考えられます(図表7)。

3.日系企業への示唆

今回の調査を通じて、多くの日系企業がいわば場当たり的な対応を行いがちであることが伺えました。

ビジネス全体を俯瞰したデジタルガバナンス体制が構築されていない状況下、中国において広くサイバーセキュリティをカバーする規制が成立したことで、潜在的に抱えていたデジタル・コンプライアンスリスクが明らかになったのです。中国ではITの分野における先進的企業がグローバルにデジタルサービスを提供するようになっています。いわば世界有数のデジタルサービス拠点から、ガバナンス面における明確な要求事項が政府により示された点を、日系企業の経営陣は真摯に受け止めるべきと言えます。

従来、多くの日系企業にとって、日本の本社以上のガバナンスを中国の現地拠点で実現することは非現実的な選択であったかもしれません。しかし今後、場合によっては、中国現地の規制対応をベースラインにグループ全社の対応を見直すことも検討すべきと言えます。中国市場においては、デジタルトランスフォーメーション(DX)のみならずリスクコントロールに関する要求事項も高度になってきています。先んじて中国の規制に対応していくことが、企業の今後の包括的なデジタルガバナンスに資するとも十分に考えられるのです。

世界各国においてもEU一般データ保護規則(GDPR)に引き続き、今後このようなセキュリティやプライバシーに関する規制が制定されることが想定されます。各地の規制に対し、グローバル規模でのガバナンスを司る本社はベースラインとしてのガバナンスをどこまで導入するのか。その体制とプロセスを丁寧に検討すべき時期は確実に来ています。

執筆者

篠宮 輝

シニアマネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

関連サービス