中国サイバーセキュリティ法の影響とは | 株式会社ワンビシアーカイブズ

中国サイバーセキュリティ法の影響とは

2018.10.22  株式会社ワンビシアーカイブズ

中国サイバーセキュリティ法とは

中国サイバーセキュリティ法とは中国で2017年6月1日から施行された法律です。

この法律は端的に言うと、インターネットにおける中国の主権確保と安全保障を目的とするものであり、「個人情報の保護」「ネットワーク製品・サービスの国家規格への適合要求」「セキュリティ対策の義務化」「重要情報を扱う際の制約」などについて定めています。当然ながら、罰則規定も定められており、知らなかったでは済まない状況になりつつあります。

正式施行以降、「情報安全技術ネットワーク製品およびサービス安全通用要求(意見募集稿)」「情報安全技術データ越境セキュリティ評価ガイドライン(意見募集稿)」等、関連する規定も次々と示されており、これらの関連規定において定められる各制度への対応も必要となります。

関連資料:

中国サイバーセキュリティ法の影響を受ける企業とは

結論から言うと中国国内で事業を営むほぼ全ての企業が影響を受けると言えるでしょう。

同法は「ネットワーク運営者」「重要情報インフラの運営者」「ネットワーク製品・サービスの提供者」などに分け、中国国内の「ネットワークを構築、運営、維持及び使用」する企業を対象としています。

定義は以下のとおりです。

「ネットワーク」とは

「コンピュータ又はその他情報端末及び関連機器で構成された、一定の規則及びプログラムに基づき情報の收集、保存、伝送、交換、処理を行うシステムをいう。」と定義されています。

「ネットワーク運営者」とは

「ネットワーク」の所有者、管理者、ネットワークサービスプロバイダが全て「ネットワーク運営者」と定義されます。つまり、中国国内でコンピュータ等の情報機器で構成された情報網を保有するほぼ全ての組織や企業を含むと解釈でき、ホームページ等を開設する一般企業もネットワーク運営者に該当します。

「重要情報インフラ運営者」とは

 「ネットワーク運営者」の中で、公共通信・情報サービス・エネルギー・交通・水道・電気・交通・金融・公共サービス・電子政府などの重要な産業に関わる事業者が該当すると考えられます。このほかにも、破壊・漏えいなどが起きた際に国の安全にかかわると中国当局が判断した事業者も含むと考えられます。

「ネットワーク製品およびサービス提供者」とは

ネットワークに関連する設備、ソフトウェア等を生産、販売する企業や、クラウドーサービス、データ処理サービス等、ネットワーク製品およびサービスを提供する組織や企業が含まれると考えられます。

これらネットワーク運営者に該当せず、ネットワーク製品およびサービス提供者にも該当しない個人および組織も「サイバーセキュリティ法」の規定を遵守する必要があります

ットワーク運営者」「重要インフラ運営者」に対する主な義務と罰則

下記は「ネットワーク運営者」「重要インフラ運営者」の両事業者に課される主だった義務と罰則をまとめたものです。

対象

行為

是正を命じ
警告を与える

是正を拒絶し、情状が重大であり、サイバーセキュリティーに危害を及ぼす等の結果をもたらした場合における罰金

直接責任を負う主管者およびその他の直接責任者に対する罰金

関連業務の一時停止、営業停止・整理、ウェブサイトの閉鎖、業務許可または営業許可証の取り消しを命ずる

ネットワーク運営者

サイバーセキュリティー等級保護義務を履行しないとき。

1~10万元

5,000~5万元

サイバーセキュリティー事件緊急対応プランを制定しないとき。

1~10万元

5,000~5万元

実名制義務を履行しないとき。

5~50万元

1~10万元

違法にサイバーセキュリティー認証、検査等の活動を実施したとき、またはシステムのバグ、インターネット攻撃等のサイバーセキュリティー情報を対外的に公布しないとき。

1~10万元

5,000~5万元

個人情報を侵害したとき。

違法所得の1~10倍

(違法所得がない場合には100万元以下)

1~10万元

ユーザー発布情報に対する管理を強化しなかったとき。

10~50万元

1~10万元

法執行協力義務を履行せず、またはその履行を拒否したとき。

5~50万元

1~10万元

重要情報インフラ運営者

サイバーセキュリティー保護義務を履行しないとき。

10~100万元

1~10万元

データ現地化の要求に違反したとき。

5~50万元

1~10万元

国の安全審査規定に違反したとき。

購入金額の1~10倍

1~10万元

ネットワーク製品およびサービス提供者

製品およびサービスの安全に関する義務に違反したとき。

5~50万元

1~10万元

あらゆる個人および組織

サイバーセキュリティーに危害を及ぼす活動に従事したとき。

個人:5~50万元(情状が重大な場合には10~100万元)

単位:10~100万元

5~50万元(情状が重大な場合には10~100万元)

日本貿易振興機構(ジェトロ)「中国におけるサイバーセキュリティー法規制にかかわる対策マニュアル(2018年2月)」

企業と情報セキュリティ(個人情報保護)セミナーレポート 企業と情報セキュリティ(個人情報保護)セミナーレポート
アーカイブ/アーカイブズとアーキビスト アーカイブ/アーカイブズとアーキビスト

すぐに確認すべき4つのこと

  1. ログファイルの保存期間が適切であること
    ログファイルは最低6カ月間保存することが義務付けられていますので、現在の運用が合致しているか確認する必要があります。

  2. ユーザー情報の収集の体制が整っていること
    情報を収集する際、サービスを提供する際にそれぞれ以下の体制が整っている必要があります。
    ・ユーザー情報を収集する際に同意を得ることができているか
    ・ユーザーにネットワーク接続などのサービスを提供する際に真実の身分証を提示させているか 
  3. 中国で収集した個人情報・重要データの中国国内保管ができていること
    上述のとおり、重要情報インフラ運営者は中国で収集した個人情報・重要データを、中国国内でのサーバ上に保存することを義務付けられました。これにより中国国内で発生したデータを日本国内のみで保存することが違法となり、データ保存先の見直しが迫られています

  4. 中国で収集した個人情報・重要データの国外移転制限への対策はできているか(対象:重要情報インフラ運営者)

    重要情報インフラ運営者は、個人情報・重要データを中国国外に提供する必要がある場合に、中国当局の規則に則り安全評価を受ける必要があります。
    また、個人情報および重要データの国外移転は2018年12月31日が対応期限とされる見通しと言われており、急ぎ対応が必要となります。

本法への対応の基準を定めるガイドラインはまだ随時更新されている状況で不確定な部分も多いですが、上記4点については具体的な記述がありますので、「自社が該当するか」や「実施できているか」についてご担当の方に確認することをおすすめします。

まとめ

 いかがでしたでしょうか、中国サイバーセキュリティ法の影響について理解を深めていただけましたでしょうか。最近「今まで日本国内で保存していたデータを中国国内で保存するよう運用を変更したいが、ワンビシ中国で対応可能でしょうか?」というご相談をいただく機会が増えております。

 当社の中国子会社では、中国サイバーセキュリティ法ガイドラインの情報を定期的に収集しております。中国拠点での対策をご検討でしたらお役立ていただける情報がご提供できるかと存じますので、是非お気軽にご相談ください。

弊社サービスについてご不明な点はございませんか?

RECENT POST「文書管理・記録管理」


RELATED POST関連記事


中国サイバーセキュリティ法の影響とは