中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法 対応支援

中国の日本企業が直面する新たなコンプライアンスリスク

中国では2017年のサイバーセキュリティ法(中国語名称:中华人民共和国网络安全法)の制定以降、サイバー、データ、個人情報関連の法令やガイドラインなどが次々と制定、改正されてきました。そして、2021年には中国データセキュリティ法(中华人民共和国数据安全法)と中国個人情報保護法(中华人民共和国个人信息保护法)が成立しました。

中国はサイバーセキュリティの課題を国家安全保障に組み込んでおり、サイバーセキュリティ法、データセキュリティ法、個人情報保護法の3つの法律(以下、「中国サイバー三法」)の制定により、中国においてビジネスを展開する日本企業に対して新たなコンプライアンス義務を課すことになりました。

中国の日本企業が直面する 新たなコンプライアンスリスク

中国サイバー三法の位置づけ

中国は、2014年4月15日の中央国家安全委員会第1回会議の「総体国家安全観」において、サイバーセキュリティを「国家安全保障」のための重要な分野と位置づけ、中国サイバー三法によって多くの重要な制度を規定しています。

中国サイバー三法の 位置づけ

1.中国サイバーセキュリティ法

中国サイバーセキュリティ法は、2017年に施行されました。この法律は、国家安全保障のためのサイバーセキュリティ確保を目的に、域内のネットワーク運営者、重要インフラ施設運営者、インターネット製品およびサービス提供者など企業、組織、個人を対象として、サイバーセキュリティ等級保護の実施義務、権利義務の明確化、適切なネットワーク運営方法の確立、サイバーイノベーションの奨励、セキュリティリスクの識別およびコンプライアンスの遵守などを定めています。

サイバーセキュリティ等級保護の実施はネットワーク運営者の法定義務となっており、履行を怠ると法律違反とみなされる可能性があります。ネットワークを保有する企業はサイバーセキュリティ等級保護実施義務者となるため、特に注意が必要です。ネットワークの等級は対象に対する侵害の程度によって決まります。

中国サイバーセキュリティ法の制定後、国家安全審査制度を具体化する「サイバーセキュリティ審査弁法」(中国語名称:网络安全审查办法)が2020年に制定されました。これはインターネット製品およびサービス提供者が審査を申請する必要があり、政府が必要と判断した場合、審査を行うことができるという内容となっています。

さらに、2021年にはインターネット製品およびサービスなどのサプライチェーン強化のため「インターネット製品セキュリティ脆弱性管理規定」(中国語名称:网络产品安全漏洞管理规定)が制定されました。当該規定は、脆弱性情報の収集および公表を規制しており、下図の通り、政府が脆弱性情報を一元管理するようになりました。これにより、国は市場に流通するインターネット製品およびサービスに関する脆弱性情報の管理を強化し、脆弱性の対応などに関してプロバイダーに直接アクセスするケースが増えています。

脆弱性情報規制の仕組みは下図の通りです。

中国 サイバーセキュリティ法

2.中国データセキュリティ法

中国データセキュリティ法は、データセキュリティにおけるリスクや脅威に焦点を当て、政府によるデータセキュリティの強化、データセキュリティの審査、リスク評価などを定めた法律です。対象とするデータの定義も「紙面を含むすべての情報」としており、広範囲に規制しています。

中国データセキュリティ法の主な内容は、データの分類と等級分け、国家安全審査、データセキュリティ管理、レスポンス体制の構築、国外移転およびデータ取引などとなっており、中国サイバーセキュリティ法の等級保護等法制度と相互に影響しあう点が多くなっています。

中国データセキュリティ法はデータ分類、等級分けなどの規制に関して明確な規定を設けておらず、関連するガイドラインなどに委ねています。中国データセキュリティ法の制定直後には、中国工業情報化部等八部門は自動車業界における「自動車データのセキュリティ管理に関する若干規定(試行)」(中国語名称:汽车数据安全管理若干规定(试行))が公表されました。同規定は自動車データの定義、収集から越境までの自動車関連データの取り扱いに関する規制を詳細に定めており、自動車のデータにおける重要データの定義などを明確にしました。このように、今後は他の分野においてもデータの取り扱いに関する規定が続々と制定されると考えられます。

3.中国個人情報保護法

中国の個人情報保護法は、サイバー三法のうち最も「国家安全保障」の要素の薄い法律であるといえます。第3回目の法案審議において、個人情報保護法の立法趣旨に「憲法に基づく」との文言が追加され、個人の権利保護に重点が置かれました。

中国個人情報保護法は「告知、同意、撤回」を主軸に個人情報の収集、同意、処理、国外移転、DPO・代表者の設置などを求め、さらに巨大なプラットフォーマ―、ビッグデータによる差別などに対して特別な規制を設けています。

中国では、業界領域によって個人情報が重要データに変化する場合もあり、単に中国個人情報保護法のみを参照するだけでは十分な対応とはならず、関連標準、ガイドラインなどを参照しながら、中国サイバー三法の相互関係を俯瞰して対策を考えなければなりません。

中国サイバー三法における特徴的な事項

中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法は、いずれも違反行為に対する法的責任として行政処罰、民事損害賠償および刑事責任を規定しています。

特徴的な規定としては、違反行為に対して法人・組織のみならず、その責任者に対する両罰規定、国の企業登録システムの信用リストへの違反者情報の掲載、責任者に対して同じ業務に従事することの禁止などがあります。

また、中国個人情報保護法に対する違反行為ついて、侵害における取扱事業者過失推定と公益訴訟制度が設けられており、罰金の最高額を前年度売上額の5%とするなど、GDPRと同程度の額が規定されています。

PwCのサービス

中国サイバー三法におけるコンプライアンス項目は互いに関連しあうところが多く、同時かつ総合的に対応することが必要になります。

PwCは、中国に事業展開する日本企業の中国サイバー三法への対応を総合的に支援します。

  • サイバーセキュリティ等級保護義務の履行
  • 脆弱性管理およびレスポンス体制の策定
  • 実名制義務の履行
  • コンテンツ管理強化
  • 個人情報・データの把握、分類、等級分けなどの対応
  • データ安全審査対策
  • データセキュリティ管理体制の構築
  • 個人情報・データのリスク評価
  • 個人情報・データの越境規制対応
  • データローカライゼーション
  • 従業員教育

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

平岩 久人

パートナー, PwC Japan有限責任監査法人

Email

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

森田 成祐

パートナー, PwC Japan有限責任監査法人

Email

篠宮 輝

シニアマネージャー, PwCコンサルティング合同会社

Email