中国サイバーセキュリティ法
とは

中国サイバーセキュリティ法 (Cybersecurity Law of the People’s Republic of China) は、
2017年6月1日に施行された、中国国内のインターネット分野の安全性に関する基本法となるものです。
IT企業に限らず、メーカーや小売事業者まで、中国に拠点を持つ様々な業種・業態の企業が対象となります。

当法は関連規則のアップデート速度が早く、非常に重要性が高い法令です。
しかし、更新の速度も相まって、日本語での解説や情報がなかなか見つけづらいのが実情です。

そこで、中国ビジネスにおけるコンサルティング支援を提供しているクララオンラインとして、「中国サイバーセキュリティ法とは?」といった基礎的な説明から実務的な影響まで、我々が培ってきた法対策の実情と合わせて、わかりやすくお伝えします。
INDEX

第1章
中国サイバーセキュリティ法の概要

(1) 中国サイバーセキュリティ法とは

网络安全法(網絡安全法)、いわゆる中国サイバーセキュリティ法は、2017年6月、インターネットに関わる国家主権、国家の安全及び社会の公共利益を維持し、国民、企業、その他の組織の権利を保護し、社会の情報化の健全な発展を促進することを目的として制定されました。

また、基本法施行後も関連規制が段階を踏んで次々と公布され、中国当局がサイバーセキュリティ領域の統制に注力していることが読み取れます。

2017年6月1日
「中国サイバーセキュリティ法」基本法の制定
2017年6月9日
「ネットワーク重要インフラ設備及びネットワークセキュリティ専用製品目録(第1回)」を公表
2017年6月27日
「国家ネットワークセキュリティインシデント危機管理計画」通知を発表
2018年3月23日
国家標準「情報セキュリティ技術 ネットワークセキュリティ等級保護等級評価ガイドライン(意見募集稿)」公布
2018年6月27日
「ネットワークセキュリティ等級保護条例(意見募集稿)」を公布
2018年11月1日
セキュリティ検査活動の強化として、「公安期間インターネットセキュリティ監督検査規定」を施行
2019年5月24日
「ネットセキュリティ審査弁法(意見募集稿)」公布
2019年5月28日
「データセキュリティ管理弁法(意見募集稿)」 公布
2019年5月31日
「児童個人情報ネットワーク保護規定(意見募集稿)」公布
2019年6月25日
「個人情報の越境移転セキュリティ評価弁法(意見募集稿)」を公布

全7章79条からなり、国家・主管部門・情報ネットワーク運営者・情報ネットワーク使用者における情報ネットワークの安全責任を明確にし、情報ネットワーク製品及びサービス、ネットワーク運行安全、ネットワーク情報安全等方面の基本的なルールを定めています。

インターネットにおける個人情報の収集生成、利用、データの越境移転などについても定められており、中国国内でシステムを運用・保守・使用しているあらゆる企業が適用の対象となるため、中国でビジネスを展開する上で、当法への対策は避けて通れないものとなっています。


中国サイバーセキュリティ法は、主に下記の6項目の内容を定めた基本法です。
具体的な事項については、今後制定される関連規定により整備されていきます。

  • セキュリティ保護義務
  • 重要インフラ事業者への要求事項
  • 情報保護義務(特に個人情報と重要データ)
  • 個人情報と重要データの越境移転制限
  • 当局監督の受入義務及び捜査協力
  • 法的責任と罰則

(2) 中国サイバーセキュリティ法の適用範囲

当法は、IT企業に限らずメーカーや小売事業者まで、中国国内でシステムを運用・保守・使用しているあらゆる企業が適用対象のため、中国ビジネスを行う上で避けて通ることは出来ません。その中でも、中国サイバーセキュリティ法は、「ネットワーク運営者」及び「重要情報インフラ」の運営者の責務を中心に規定しています。

中国サイバーセキュリティ法の適用範囲

1 ネットワーク運営者

ネットワーク運営者とは「ネットワークの所有者、管理者及びネットワークサービスプロバイダ(76条3項)」と定義されており、広範な定義となっています。

ネットワーク運営者の責務
インターネット運営者の安全保護義務の履行(第21条)
インターネット実名制の実施(第24条)
インターネットの安全を脅かす事象に対する緊急対応策の制定(第25条)
国の安全の維持のための捜査協力及び技術提供(第28条)

  • インターネットプロバイダー
  • 電子商取引プラットフォーム
  • ウェブページを通じて対価なしに情報を伝達する等の非営利性のサービスを提供する企業
  • 会社グループ内のイントラネットを運用している場合も、当該会社は「インターネット」を所有又は管理しているとして、「インターネット運営者」に該当

2 重要情報インフラ運営者

公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要な産業及び分野、並びにひとたび機能の破壊、喪失又はデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラと定義。特別なセキュリティ保護措置を求める制度です。

重要情報インフラ施設運営者の
責務
システムの破壊やデータの漏えい時に、各客体に対して特に重大な影響を及ぼす可能性のある組織について『重要情報インフラ』として定義し、特別なセキュリティ保護措置を求める制度です。

特別な義務

  • 社内に専門の安全管理機構を設置し、安全管理責任者を確定
  • インターネット安全業務上、重要職位にある専門技術者について、資格に基づく勤務制度を実施
  • 従業員に対し定期的にインターネット安全教育、技術訓練および技能テストを行い、重要システムおよびデータベースについてバックアップを作成

サービス業 政府機関、エネルギー、金融、交通、水利、公共サービス等
ネットワーク・マスコミ 通信、ラジオ、テレビ、インターネット、クラウド、ビッグデータ等
科学技術 国防科学技術、大型機器、化学、食品、医薬品等

サイバーセキュリティ法における「インターネット」とは、「コンピュータ又はその他の情報端末及び関連設備で構成される、一定の規則及びプログラムに従い情報を収集し、保存し、伝達し、交換し、処理するシステム」とされていることから(第76条第1号)、例えば会社グループ内のイントラネットを運用している場合も、当該会社は「インターネット」を所有又は管理しているとして、「インターネット運営者」に該当する可能性があります。

3 具体的な対象企業例

事例1 製造メーカー

現地に製造工場や販売会社を持ち、基幹系システムを日常的に運用している場合。

経理システム/人事・給与システム/基幹系システム 等

中国サイバーセキュリティ法具体的な対象企業例1
ネットワーク運営者に該当するため、同法対象企業です。
事例2 グローバル企業

ユーザー情報・取引情報を、国を超えて管理・やり取りしている場合。

中国人向けインバウンドサービス/Webアプリサービス/観光・調査サイト 等

中国サイバーセキュリティ法具体的な対象企業例2
中国国内運営企業とみなされる可能性があるため、同法対象企業です。
事例3 インフラに関わる企業

取引先が重要インフラ運営者で、インターネットで遠隔監視の機能を提供するシステムを
運営する場合。

エネルギー/通信・情報/決済サービス/流通サービス 等

中国サイバーセキュリティ法具体的な対象企業例3

取引先が重要情報インフラ運営者に該当するため、
システム提供者も同等の要求をされる可能性が高いです。

(3) 中国サイバーセキュリティ法制定の背景

中国の全国人民代表大会(全人代)の常務委員会は2016年11月7日、インターネット分野の安全保障を目的とした中国サイバーセキュリティ法の法案を可決しました。その背景には、急速に変化する中国のインターネット事情があります。

1 年々増加するネットワーク
インシデント

中国国内で増加するインターネット分野でのインシデントは年々増加しており、そのほとんどが中国国外からの攻撃だといいます。そのため、国家機密の安全保障や情報管理に関する法規制の整備が急務となりました。

2 ネットワーク製品・サービスに関する国家基準

中国サイバーセキュリティ法制定前は、コアネットワーク・ネットワークセキュリティ製品における国家基準が不明瞭であり、業界毎の基準が混在していました。アンチウイルスソフトや、ファイヤーウォール製品等がそれにあたります。そのため、ネットワーク製品の安全性を保障するためには、各製品を審査する必要性が出てきました。また、もともとあった電信条例(※)との関係性も踏まえて、新たな基準を整備することが必要でした。
(※電信条例とは、通信分野全体に関する法規制です。)

3 実名制の浸透の遅れ

政府は以前より固定回線・携帯・ISP契約などの実名登録制は度々推進してきましたが、思うようには進みませんでした。また、インターネット上の掲示板、SNSなどへの書き込みによる誹謗中傷やデマの拡散等が、治安に悪影響があると判断されたため、法律レベルで実名登録制を定め、情報統制をすることが必要となりました。

4 個人情報保護意識の低さ

中国では、個人情報保護の意識は、基本的にほぼありませんでした。しかし、続々と制定が進むアメリカやEU諸国、日本等、諸外国のサイバーセキュリティ分野における法令とのバランスを考える必要もあり、個人情報取集・使用の原則及び取扱いの規定や、不正利用に対する罰則の設定が必要でした。

中国のインターネット分野における以上の4つの観点から、
サイバーセキュリティ領域で根拠となる法令が、国家・国民の利益を保護する上で必要である
と判断されたため、中国サイバーセキュリティ法は制定されました。

第2章
中国サイバーセキュリティ法対策

中国ビジネスを展開する日本企業が求められる中国サイバーセキュリティ法対策は、
以下に分類されます。

重要データの国内保存義務化と
持ち出し制限
  • 国内事業で収集・生成したデータの国内保存の義務化
  • 個人情報・重要データの越境移転制限
等級安全保護に定められた
セキュリティ要件
  • サイバーセキュリティ対策、危機対応マニュアル策定の義務化
  • セキュリティ評価作業チームの設置義務化
罰則対策
  • 違反時、法人だけでなく担当者個人への罰則適用も有り得るため、その対策

(1) 重要データの国内保存義務化と持ち出し制限

1 該当する重要データ:
個人情報とは?

電子的、あるいはその他の方式で記録された単独、あるいはその他の情報と組み合わせることで、自然人個人の身分が識別できる各種情報を指す。

自然人の姓名、生年月日、身分証番号、個人の生体認証情報、住所、電話番号、連絡先情報、ID・パスワード情報、財産の状況 等

個人情報保護の注意点
  • 個人情報と個人センシティブ情報とを区分し、それぞれ必要に応じたセキュリティ保護対策の実施
  • プライバシーポリシー上に、個人情報収集及び処理の目的・方法・範囲・ルールについての明示
  • 個人情報収集及び処理の目的・方法・範囲・ルールについて、個人情報の主体からの明示的な同意の取得
  • 収集する個人情報は必要最小限度
  • 外部委託先への監督の実施
個人情報関連の規定・法令

「データセキュリティ管理弁法(意見募集稿)」 2019年5月28日公布

データ収集に関する規定
ネットワーク運営者がWEBサイトやアプリなどの製品を通じて個人情報を収集使用する場合、収集使用ルールを制定し公開しなければならない(7条)
収集使用にあたっては本人の同意が必要であるが、14歳以下の未成年については保護者の同意が必要(12条)
インターネットの安全を脅かす事象に対する緊急対応策の制定(第25条)
本人が個人情報の提供やその範囲について同意しているかどうかに関わらず、サービス品質や価格で差別行ためを行ってはならない
データの処理と使用に関する規定
ネットワーク運営者がユーザーデータや解析を利用してカスタマイズしたニュースや商業広告などを送信する場合、目立つ方法で「定推」の文字を表示しなければならない(23条)
ビッグデータやAI等の技術を使って、ニュース、ブログ、BBS、フォーラム等の情報を自動生成する場合、同じく「合成」の文字を表示しなければならない(24条)
ネットワーク運営者が重要データを発表、共有、交易、越境移転する場合、セキュリティリスクの評価を実施し、主管部門に報告して同意を得なければならない(28条)
国内のユーザーが国内のインターネットにアクセスする場合、当該通信経路が国外を経由してはならない(29条)
「児童個人情報ネットワーク保護規定(意見募集稿)」 2019年5月31日公布

「個人センシティブ情報」とされ、通常の個人情報より厳しい取り扱いが規定

保護対象 14歳未満の未成年(27条)
適用範囲 基本的にネットワーク運営者
情報安全技術 個人情報安全規範 児童個人情報ネットワーク保護規定
(意見募集稿)
児童又はその後見人は、一定の場合において、情報の削除を求めることができる 後見人が同意を撤回した場合及び児童又はその後見人がサービスを終了した場合にも情報の削除を求めることができる(18条3項、4項)
業務上の必要により、特定の人員に権限を越える個人情報の処理を授権しなければならない場合には、審査承認を行い、記録を残さなければならない そのような限定なく、ネットワーク運営者の従業員が児童の個人情報にアクセスする場合には、個人情報保護責任者又は個人情報保護責任者が授権した管理者からの審査認可を受け、記録を残しなければならない(12条)
第三者と共同で個人情報を利用する場合、自身及び第三者が負うべき責任及び義務を確定した上、明確に告知すること 第三者と共同で児童の個人情報を利用する場合には児童の後見人から同意を得なければならない(14条)
規定なし 業界組織に対して児童の個人情報に係る業界規範の作成を奨励している(4条)
規定なし 児童の個人情報に関する専用の保護規則とユーザー契約を制定しなければならず、かつ当該規則及びユーザー契約は分かりやすいでなければならない(5条)

2 国内保存義務とは

当法では、「中国国内での運営において収集・生成した公民の個人情報および重要な業務データは中国国内に保存すること。業務利用のためこれらを海外に提供する場合、規定に従いセキュリティ評価を行うこと。」を定めています。(第37条)そのため、中国の重要データを保管するシステムとして中国のオフィスから日本本社のサーバ等を利用することが出来なくなります。

中国サイバーセキュリティ法重要データの国内保存義務

3 データ越境移転とは

ネットワーク運営者(何らかの形でインターネットを通じてサービスを提供する企業または個人)がインターネットを通じて、中国国内で事業運営中に収集または生成した個人情報及び重要なデータを中国国外の法人、組織または個人に、直接もしくは業務・サービス・製品などを通じて提供し、一時的または継続的に利用されることです。

移転先が中国国内だが、中国司法管轄範囲外または中国で登記されていない組織へ個人情報及び重要データを提供した場合
対象データは中国国外で保存されていないものの、中国国外の企業、組織、または個人が遠隔アクセスし、閲覧した場合(公開情報、ウェブサイトを除く)
事業活動中に収集または生成した個人情報及び重要データをネットワーク運営者のグループ内部データとして中国国内から中国国外へ移転した場合

ただし…

中国国外で収集または生成した個人情報及び重要データを、変更または加工せずに中国を経由して中国国外へ移転することは、越境移転に該当しない。
中国国外で収集または生成した個人情報及び重要データを中国国内で保存、加工したうえで中国国外へ移転する場合、中国国内で収集または生成した個人情報及び重要データが含まれなければ、越境移転に該当しない。
日系企業の場合、データの越境送信に該当
日本本社等中国大陸外にあるシステムを利用している場合
中国大陸内のシステムから大陸外のシステムへデータを同期している場合
中国リージョン以外のクラウドを利用している場合
中国大陸内にあるシステムのメンテナンスを大陸外から行っている場合
中国大陸内にあるデータを大陸外から閲覧する場合

データの越境移転時、安全評価の実施が推奨される

ネットワーク運営者がデータを越境移転する際に、データの安全性が確保されるかどうかを判断する。更にデータの内容によって「自己評価」か「当局評価」に分類されます。

評価責任者 データを越境移転するネットワーク運営者
評価項目 越境移転目的 データの識別 データの影響 インシデントの可能性
評価内容 ・合法性
・合理性
・必要性
重要データまたは個人情報の有無、その数量 国家安全、経済発展または社会公共利益への影響度 発送側の管理保障能力、技術保障能力、受取側の背景状況、管理保障能力、技術保障能力

必ずしも全てのデータを越境させてはならないという訳ではなく、基本的には個人情報及び重要データの越境送信時に評価を義務付けている。

(2) 等級安全保護に定められたセキュリティ要件

等級安全保護制度は中国のサイバーセキュリティ領域において最も重要な制度です。

2007年、公安部が「情報等級安全保護管理弁法」を公布し、情報システムを国家安全、経済建設、社会生活においての重要度によって5段階に区分、各段階の対応範囲、運営者の義務と対応措置などを定めました。
そして、2018年6月、中国公安部は2007年施行の「情報セキュリティ等級保護管理弁法」をアップデートした「ネットワークセキュリティ等級保護条例(意見募集稿)」(通称:等級保護2.0)を公布しました。

等級安全保護制度とは
情報システムを重要度(損壊時の影響範囲、被害規模)によって5段階に区分し、
各等級の対応範囲、運営者の義務と対応措置などを定めた条例です。
等級安全保護制度

ほとんどの日系企業は第1級~第2級に該当するため、第2級で求められるセキュリティレベルをクリアする必要性があります。
等級安全保護2級程度では、中国国内で構築・運営・メンテナンス・使用している情報システムに対して、管理面及び技術面から対策が必要となります。

管理体制
責任者の任命
セキュリティポリシー作成
インシデント時の危機管理計画など
技術的施策
ログの6カ月保管
バックアップ・暗号化
攻撃・漏洩対策
ネットワーク監視
政府認可のネットワーク製品やセキュリティ製品の使用

  • 内部安全管理制度と操作マニュアルを作成し、情報ネットワーク安全の責任者を確定し、情報ネットワーク安全保護責任を明確にする。
  • 情報ネットワーク安全を危害する行ためを防犯するための技術措置を講じる。
  • 情報ネットワーク運行状態、情報ネットワーク安全事件を観測、記録するためのハードウェアとソフトウェアを整備し、関連する情報ネットワークの日誌を規定により6か月以上保存する。
  • データを分類し、重要データをバックアップし、かつ暗号化するなどの措置を講じる。

第3章
中国サイバーセキュリティ法の罰則

1 中国サイバーセキュリティ法違反時のリスク

違反した際のリスクとしては、違反時の処罰と、処罰に伴う事業停止などのビジネス損失、社会的信用棄損などがあります。 特に、改善が完了するまで業務停止を求められ、その間の収益が止まってしまうことが大きなリスクとなっています。

また、処罰の対象として、企業だけではなく個人にも罰金が設けられていることが中国サイバーセキュリティ法の特徴としてあげられます。責任者を選任する際、名目上ではなく、選任された個人がリスクを理解して法令順守の対応を実施する必要があります。

選任された個人への説明が十分でなく、リスクを把握していなかったためにインシデント発生時に企業と個人間の訴訟問題に発展する危険性もあるため、それを踏まえた体制づくりが必要です。

2 中国サイバーセキュリティ法の罰則

違反した場合は強制改善要求がされ、違反内容により以下の処罰が課せられるとされています。

  • 法人・個人(安全責任者)に100万元以下の罰金(日本円で約1,500万円)
  • 刑事罰の適用
  • 法令順守の対応ができるまでの事業停止
  • 違反所得の没収
中国ビジネスレポート

サイバーセキュリティ法の執行事例 (2019年9月発行)
サイバーセキュリティ法の執行事例をまとめたレポート。

第4章
中国サイバーセキュリティ法の対処方針

(1) 定期的な情報収集と早期の体制作り

上記で取り上げた対策がすべてではありません。法令は今後もアップデートされることが予測されるため、定期的な情報収集と柔軟な対応が求められます。中国サイバーセキュリティ法は、まだできたばかりの法令のため、明確な方法論が確立されていないのが現状です。しかし、猶予期間を経て適用フェーズに移ってきており、実際に処罰事例なども出てきているため、早急な対応の必要があります。

中国サイバーセキュリティ法対策は、いざ問題が起こったときに対策しようしても、体制づくりや現場への浸透は年単位など長期にわたるため、一朝一夕ではできず、改善するまで業務停止などリスクの大きさを考えると、処罰を受けてからの対応では到底間に合いません。早めの検討・対策が必要となります。

(2) 現場レベルでの体制整備

現実には、何から対策をすればいいのか分からない、誰に相談すればいいのか分からないという手探りの企業も多いと思われます。『インシデントは現場で起こる』というのは、中国ビジネスでは実感されている方も多いのではないでしょうか。

日本国内でルール体制づくりを推進しても、机上の体制ではなく、現場にガバナンスを効かせコントロール出来るかが、今後も中国ビジネスを安定稼働させるカギになってきます。
正解がない中でどのように進めるのかについては、現状のリスクを洗い出し、可視化するところから始めることをお勧めしています。

(3) 法対策整備のPDCA

1 情報の精査
各法令を読み解き、自社に当てはまるリスクを洗い出します。
2 対策検討
現状のリスクを把握し、各リスクの対応策を検討します。
3 構築・実行
自社のルール・体制作りを行い、実施する。
4 モニタリング
定期的に実施状況をモニタリングする。

法令で定められている内容は基本的な事になります。実際にどこまでのレベルでどんな対応をしたらよいかについては企業ごとに異なるため、個々の企業で検討する必要があります。しかし、法の解釈や業種・業態に合わせた対応方法などは、実際には社内での判断は難しいものです。

もし自己判断で違反してしまい処分対象となった場合、経営にクリティカルな損失を与えてしまいます。現実的には、中国の法律を理解している弁護士や、中国ビジネスの実例を多く知っているコンサルティング会社等に相談してすすめると良いでしょう。

クララオンラインでは、中国サイバーセキュリティ法リスクをオンラインで簡単に診断できるサービスを行っています。

中国サイバーセキュリティクラウド中国サイバーセキュリティクラウド
TOP