中国サイバーセキュリティ法とは中国で2017年6月1日から施行された法律です。
この法律は端的に言うと、インターネットにおける中国の主権確保と安全保障を目的とするものであり、「個人情報の保護」「ネットワーク製品・サービスの国家規格への適合要求」「セキュリティ対策の義務化」「重要情報を扱う際の制約」などについて定めています。当然ながら、罰則規定も定められており、知らなかったでは済まない状況になりつつあります。
正式施行以降、「情報安全技術ネットワーク製品およびサービス安全通用要求(意見募集稿)」「情報安全技術データ越境セキュリティ評価ガイドライン(意見募集稿)」等、関連する規定も次々と示されており、これらの関連規定において定められる各制度への対応も必要となります。
結論から言うと中国国内で事業を営むほぼ全ての企業が影響を受けると言えるでしょう。
同法は「ネットワーク運営者」「重要情報インフラの運営者」「ネットワーク製品・サービスの提供者」などに分け、中国国内の「ネットワークを構築、運営、維持及び使用」する企業を対象としています。
定義は以下のとおりです。
「コンピュータ又はその他情報端末及び関連機器で構成された、一定の規則及びプログラムに基づき情報の收集、保存、伝送、交換、処理を行うシステムをいう。」と定義されています。
「ネットワーク」の所有者、管理者、ネットワークサービスプロバイダが全て「ネットワーク運営者」と定義されます。つまり、中国国内でコンピュータ等の情報機器で構成された情報網を保有するほぼ全ての組織や企業を含むと解釈でき、ホームページ等を開設する一般企業もネットワーク運営者に該当します。
「ネットワーク運営者」の中で、公共通信・情報サービス・エネルギー・交通・水道・電気・交通・金融・公共サービス・電子政府などの重要な産業に関わる事業者が該当すると考えられます。このほかにも、破壊・漏えいなどが起きた際に国の安全にかかわると中国当局が判断した事業者も含むと考えられます。
ネットワークに関連する設備、ソフトウェア等を生産、販売する企業や、クラウドーサービス、データ処理サービス等、ネットワーク製品およびサービスを提供する組織や企業が含まれると考えられます。
これらネットワーク運営者に該当せず、ネットワーク製品およびサービス提供者にも該当しない個人および組織も「サイバーセキュリティ法」の規定を遵守する必要があります。
ットワーク運営者」「重要インフラ運営者」に対する主な義務と罰則下記は「ネットワーク運営者」「重要インフラ運営者」の両事業者に課される主だった義務と罰則をまとめたものです。
|
対象 |
行為 |
是正を命じ |
是正を拒絶し、情状が重大であり、サイバーセキュリティーに危害を及ぼす等の結果をもたらした場合における罰金 |
直接責任を負う主管者およびその他の直接責任者に対する罰金 |
関連業務の一時停止、営業停止・整理、ウェブサイトの閉鎖、業務許可または営業許可証の取り消しを命ずる |
|
ネットワーク運営者 |
サイバーセキュリティー等級保護義務を履行しないとき。 |
◯ |
1~10万元 |
5,000~5万元 |
|
|
サイバーセキュリティー事件緊急対応プランを制定しないとき。 |
◯ |
1~10万元 |
5,000~5万元 |
||
|
実名制義務を履行しないとき。 |
◯ |
5~50万元 |
1~10万元 |
◯ |
|
|
違法にサイバーセキュリティー認証、検査等の活動を実施したとき、またはシステムのバグ、インターネット攻撃等のサイバーセキュリティー情報を対外的に公布しないとき。 |
◯ |
1~10万元 |
5,000~5万元 |
◯ |
|
|
個人情報を侵害したとき。 |
◯ |
違法所得の1~10倍 (違法所得がない場合には100万元以下) |
1~10万元 |
◯ |
|
|
ユーザー発布情報に対する管理を強化しなかったとき。 |
◯ |
10~50万元 |
1~10万元 |
◯ |
|
|
法執行協力義務を履行せず、またはその履行を拒否したとき。 |
◯ |
5~50万元 |
1~10万元 |
||
|
重要情報インフラ運営者 |
サイバーセキュリティー保護義務を履行しないとき。 |
◯ |
10~100万元 |
1~10万元 |
|
|
データ現地化の要求に違反したとき。 |
◯ |
5~50万元 |
1~10万元 |
◯ |
|
|
国の安全審査規定に違反したとき。 |
◯ |
購入金額の1~10倍 |
1~10万元 |
||
|
ネットワーク製品およびサービス提供者 |
製品およびサービスの安全に関する義務に違反したとき。 |
◯ |
5~50万元 |
1~10万元 |
|
|
あらゆる個人および組織 |
サイバーセキュリティーに危害を及ぼす活動に従事したとき。 |
個人:5~50万元(情状が重大な場合には10~100万元) 単位:10~100万元 |
5~50万元(情状が重大な場合には10~100万元) |
日本貿易振興機構(ジェトロ)「中国におけるサイバーセキュリティー法規制にかかわる対策マニュアル(2018年2月)」
ログファイルの保存期間が適切であること
ログファイルは最低6カ月間保存することが義務付けられていますので、現在の運用が合致しているか確認する必要があります。
中国で収集した個人情報・重要データの中国国内保管ができていること
上述のとおり、重要情報インフラ運営者は中国で収集した個人情報・重要データを、中国国内でのサーバ上に保存することを義務付けられました。これにより中国国内で発生したデータを日本国内のみで保存することが違法となり、データ保存先の見直しが迫られています。
中国で収集した個人情報・重要データの国外移転制限への対策はできているか(対象:重要情報インフラ運営者)
重要情報インフラ運営者は、個人情報・重要データを中国国外に提供する必要がある場合に、中国当局の規則に則り安全評価を受ける必要があります。
また、個人情報および重要データの国外移転は2018年12月31日が対応期限とされる見通しと言われており、急ぎ対応が必要となります。
いかがでしたでしょうか、中国サイバーセキュリティ法の影響について理解を深めていただけましたでしょうか。最近「今まで日本国内で保存していたデータを中国国内で保存するよう運用を変更したいが、ワンビシ中国で対応可能でしょうか?」というご相談をいただく機会が増えております。
当社の中国子会社では、中国サイバーセキュリティ法ガイドラインの情報を定期的に収集しております。中国拠点での対策をご検討でしたらお役立ていただける情報がご提供できるかと存じますので、是非お気軽にご相談ください。
ご不明な点やご要望などお気軽にご連絡ください。