近年、中国ではサイバーセキュリティに対する規制監督が強化されている傾向にあり、2023年は「工業情報化分野データセキュリティ管理弁法（試行）」、「個人情報越境標準契約弁法」、「工業・情報化分野データセキュリティ行政処罰の裁量ガイドライン（試行）（意見募集稿）」など、中国サイバーセキュリティ及び個人情報に関連した法令及び政策が多く発表された年だった。

これらの法令や政策は、従来の中国データセキュリティ三法（中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法）に加えて、データ越境や暗号セキュリティといった技術的な内容まで包括しており、中国国内の企業に対してサイバーセキュリティの安全保障とセキュリティリスクへの対応を具体的に求める姿勢が読み取れる。そして実際に、中国国家インターネット情報弁公室（国家网信办）や各地域を管轄する公安ネットワークセキュリティ部門などがすでに企業への査察を実施しており、法律・規制違反とみなされた企業に対して具体的な処罰が行われてもいる。

今回は、中国国家インターネット情報弁公室及び各中国メディア公開情報をもとに、中国サイバーセキュリティ対策を多数支援してきた当社の観点から、中国と関わりがある事業を展開する日系企業にとってリスクアセスメントの参考として2023年に中国企業に科された処罰事例を5つご紹介したい。

2023年に中国企業に科された5つの処罰事例

知网（CNKI）に対する5,000万元の罰金（2023年9月）

国家インターネット情報弁公室は、知网（CNKI）に対してサイバー法執行監督検査を行った。当監督検査の結果「個人情報保護法」に違反していたため、知网（CNKI）グループに属する同方知网（北京）技術有限公司と同方知网デジタル出版技術股份有限公司及び「中国学術期刊（光盤版）」電子雑誌社有限公司の3社に対して総額5,000万元の罰金が科された。

運営している14個のアプリサービスに対して、以下5つの違反内容が指摘されている。

1. ユーザー個人情報の収集が必要最小限の原則に沿っていない
2. ユーザーの同意を得ずに個人情報を収集
3. 個人情報の収集・利用規則の明示がない
4. ユーザーアカウントの削除機能の不足
5. ユーザーアカウント削除後もユーザーの個人情報が完全に削除されない

当事案は「DiDi案」に次ぐ「個人情報保護法」に基づく最高額の処罰事例となった。

マイクロン社、ネットワークセキュリティ審査不合格（2023年5月）

マイクロン社（美光科技有限公司）は、最先端の計算機に使われるDRAM・フラッシュメモリ等の半導体を製造・販売しており、中国の重要インフラ事業者に該当する企業への製品提供も行っている。

中国において重要インフラ事業者らへの製品提供には、ネットワークセキュリティ審査を通過する必要があるが、主管部門による審査の結果、マイクロン社の製品には、セキュリティ上の問題があると判断され、不合格となった。また、取引先の重要インフラ事業者は、マイクロン社の製品を採用することにより国家の安全保障に影響を及ぼす恐れがあるとして、取引中止を余儀なくされた。

北京の教育系企業がデータ漏洩により5万元の罰金（2023年8月）

2023年8月、北京の教育系企業においてデータ漏洩が発生し、公安による捜査が行われた。捜査の結果、システムの脆弱性があると指摘され、当該企業は、以下3点が含まれる中国サイバーセキュリティ法の違反が指摘された。

1. 全過程におけるデータセキュリティ管理システムの未構築
2. 等級保護制度の未実施
3. データセキュリティ保護義務の未履行

公安は、当該企業に対して罰金5万元を科し、システム責任者にも罰金1万元が科された。

浙江省のIT企業にデータセキュリティ違反により100万元の罰金（2023年3月）

浙江省のIT企業が、浙江省の地方政府の情報管理システムを開発・運営する過程で、委託元の同意を得ずに収集した機密データをパブリッククラウドに無断でアップロードし、アップロード先のパブリッククラウドのセキュリティ不備が原因で深刻なデータ漏洩を引き起こした。

公安は、個人情報の無断移転等がデータセキュリティ法に違反するとし、IT企業及び関係者それぞれに以下の罰金を科した。

• IT企業：100万元
• プロジェクト責任者：8万元
• システム責任者：6万元

データセキュリティ保護義務の未履行により、上海市のIT企業に対して8万元の罰金（2023年10月）

保険会社向けにインターネット通信サービスを提供する上海のIT企業は、自社が設置・構成したサーバーにアプリケーションシステムのログの他、ユーザーの氏名、身分証番号等の個人情報を大量に保存しており、情報を保管していたサーバーにセキュリティの脆弱性があったことから、データの国外流出といったデータ漏洩が発生した。

事件発覚後、当局が当企業に対し捜査を行った所、以下の3点が指摘された。

1. 全プロセスのデータセキュリティ管理制度がない
2. データセキュリティを確保するための技術的措置がない
3. その他の必要な措置が講じられていない

また、企業が問題を起こしたデータ自体を密かに削除し、ネットワーク情報関連部門へ隠ぺいを図ったことも公になった。上海市の当局は、これらの行為がデータセキュリティ保護義務に違反するとみなし、この企業に是正命令、警告、および8万元の罰金の行政処分を行い、企業のシステム責任者にも1万元の罰金を科した。

処罰のポイントとなる5つの視点

---

これら5つの事例から、中国では現在、サイバーセキュリティ領域を複数の部門によって規制監督されており、主に以下5つの視点から処罰されていることがわかる。

• 企業社内のデータセキュリティシステムの構築
• データ越境の規制
• 個人情報の保護
• 等級保護の未取得
• データインシデント発生後のタイムリーな報告

当社では、中国事業を行う企業がリスク回避できるよう、引き続き、中国サイバーセキュリティに関する情報のアップデートと発信を行っていく。

あわせて読みたい

データセキュリティ法の違反・処分事例（2022年） 2021年9月1日にデータセキュリティ法が施行されて１年余りが経った。2022年7月には配車サービスなどを運営する滴滴全球股份有限公司（DiDi Global）に対し、サイバーセ...

あわせて読みたい

中国サイバーセキュリティ法の違反・処分事例まとめ（2021年） 2017年6月1日にサイバーセキュリティ法が施行されて間もなく5年、2019年1月1日に電子商取引法が施行されて3年が過ぎた。それぞれの関連法令も整備が進み、サイバー領域...

あわせて読みたい

ネットワークセキュリティ審査での滴滴（DiDi）への違反処分事例 国家インターネット情報弁公室は2022年7月21日、配車サービス「滴滴出行（DiDi）」などを運営する滴滴全球股份有限公司（DiDi Global）に対し、サイバーセキュリティ法...