
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
経済産業省などが推進する「IoT製品に対するセキュリティ適合性評価制度」(以下、IoT適合性評価制度)への対応として、企業は認証・ラベル取得やそのために必要な評価および手続きの実施を求められています。PwCコンサルティング合同会社(以下、PwCコンサルティング)は本制度に係る事業横断的な認証・ラベル取得活動を実現するスキーム作りの支援のほか、取り組みにあたって生じる課題の克服に向けた提言・示唆を提供します。
IoT製品・サービスの急速な普及に伴い、「IoT製品・サービスを狙ったサイバー攻撃」や「幅広い事業領域に対するデジタル法規制・制度」などを外部要因としたさまざまな事業リスクが懸念されています。
IoT適合性評価制度をはじめとしたIoT機器に対する認証・ラベリング制度は、リスクの外部要因となるサイバー攻撃への対策が要件として定義されていることから、認証・ラベル付与によって製品のセキュリティ品質が可視化され、利用者にとってよりセキュアな製品を選択することが容易となります。
そのため、「政府・公共機関や企業の調達における選定基準として積極的に採用される」、「市場に製品が並んだ際にラベルが付与されている製品を優先的に選ぶ」など、一般消費者を含む製品利用者の購買意欲に影響を与える可能性が考えられます。なお国内の動きとしては、政府統一基準群のガイドライン*1にIoT適合性評価制度(参考:セキュリティ適合制度及びラベリング制度<JC-STAR>*2)が反映されています。ガイドラインによれば、2025年度中に同制度で「★1(レベル1)」以上を取得していることを政府が物品などを調達する際の選定基準に含めるとともに、今後も「★2(レベル2)」、「★3(レベル3)」以上の対象機器を拡充するのに応じて選定基準に順次反映を行っていくとしています。
認証・ラベリング制度は、製品モデルごとに取得する必要があります。複数の事業領域の異なる製品や複数の製品モデル展開を行っている場合、IoT適合性評価制度における認証・ラベル取得に必要なノウハウや取得業務(例:アセスメントなど)を一元的に集約・展開する全社横断的なスキームを構築することで効率的な対応が期待できます。
PwCコンサルティングのIoT適合性評価制度認証取得支援サービスは、クライアントの希望に合わせて、専門家による相談対応から、個別製品における認証・ラベル取得活動の伴走支援、複数製品の認証・ラベル取得まで、効率的に対応します。将来的にさまざまな制度や規制に対応することを想定したスキーム作りなども含め、柔軟な支援が可能です。
製品モデルごとに、実機検証を含むアセスメントの実施から独立行政法人情報処理推進機構(IPA)への申請準備、認証・ラベル取得までを支援します。
事前アセスメントを行うことで、差し戻しをはじめとした手戻りリスクを回避するという2段階アプローチで支援します。
※第三者評価が求められる★3の認証・ラベル取得におけるアセスメントは、別途、評価機関に依頼する必要があります。
制度や認証取得プロセスのノウハウを集約し、制度への対応状況をアセスメントするゲート機能の構築、運用を支援します。
制度への対応が必要な製品開発プロジェクトのみに選択的にゲートを適用することで、事業部やプロジェクトごとの開発プロセスや慣習に依存しない対応スキームを実現します。
セキュリティ適合制度およびラベリング制度(JC-STAR)をはじめとした、IoT適合性評価制度への対応に関する相談(例:自己適合宣言における基準の解釈や評価結果の妥当性確認など)や調査依頼に対して、情報提供および専門家による提言・示唆などを提供します。また、同制度以外の国外制度や規制についても柔軟に対応することが可能です。
*1:内閣サイバーセキュリティセンター(NISC)「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」
https://www.nisc.go.jp/pdf/policy/general/guider6.pdf
*2:独立行政法人情報処理推進機構(IPA)「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」
https://www.ipa.go.jp/security/jc-star/index.html
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
金融業界のサイバーセキュリティ情報連携のための組織であるFS-ISACでCISOを務めるJohn Denning氏が、金融サービスにおけるAIの活用とリスク管理のアプローチについて解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。