1. 「重要データ識別ガイド」のパブコメ募集開始
全国情報安全標準化技術委員会は 2017 年 8 月 30 日、「国家標準『情報安全技術 データ越境移転セキュリティ評価ガイド』意見募集稿のパブリックコメント募集に関する通知」の附録 A として、「重要データ識別ガイド」を公開した。
サイバーセキュリティ法では、個人情報や重要データの越境移転に際し、セキュリティ評価を実施するよう定めているが、ここでいう「重要データ」の範囲については、2017年 4 月に発表された「個人情報および重要データの越境移転セキュリティ評価弁法(意見募集稿)(个人信息和重要数据出境安全评估办法(征求意见稿))」の第 17 条で、別途「重要データ識別ガイド」を出すとしていた。
今回発表された「重要データ識別ガイド」では、序文でどのようなデータが重要データに該当するのか、その基本的な基準を明らかにしている。その上で、主要な 27 の産業について、産業ごとに該当するデータを明らかにしている。
ただし、まだ意見募集稿の段階であり、寄せられたパブリックコメントに基づいて内容が修正される可能性がある。現時点での参考として、外資企業に開放されている分野を中心に次章で参考訳を紹介する。
2. 産業別の重要データ(抜粋・参考訳)
ここで言う「重要データ」とは、組織、機構、個人が中国国内で、収集・生成した国家秘密に関与しないが、国家の安全、経済発展、および公共の利益に密接に関係するデータ(オリジナルデータおよびその派生データを含む)で、許可なく開示、紛失、濫用、改ざん、破壊、あるいは集約、統合、分析された場合に次に列挙するような結果を招く可能性のあるものを指す。
● 国家の安全、国防利益に危害を与え、国際関係を破壊する。
● 国家の財産、社会公共の利益および個人の合法的利益に損害を与える。
● 経済・軍事のスパイ活動、政治的思想の蔓延、組織犯罪等に対する国家による抑止および攻撃に影響をもたらす。
● 行政機関が法に基づいて行う違法行為や汚職あるいはその疑いのある行為に対する調査に影響をもたらす。
● 政府部門が法に基づいて行う監督、管理、検査、審査等の行政活動を妨げ、政府部門の職責履行を妨害する。
● 国家の重要インフラ施設や重要情報インフラ施設、政府の情報システムの安全に危害を与える。
● 経済秩序及び金融の安全に影響あるいは危害を与える。
● 分析すると国家秘密あるいはセンシティブな情報が明らかになる。
● 国家の政治、国土、軍事、経済、文化、社会、科学技術、情報、生態、資源、核施設等その他の国家の安全事項に影響あるいは危害を与える。
以上の定義と各産業の関連法令を元に、以下で産業ごとの重要データの範囲を示すが、これに限らないことに注意が必要となる。
A1.石油天然ガス 主管部門:国家発展改革委員会、能源局
a) 価値類。資源の金額表示等の情報を含む。
b) 生産量類。各生産量等の情報を含む。
c) 販売量類。各販売量等の情報を含む。
d) 施工作業量類。各施工作業量等の情報を含む。
e) 安全・環境保護類。計量管理、省エネ管理、労働者の安全・保護用品、危険作業区域、品質管理等の情報を含む。
f) 埋蔵類。埋蔵量、開発施設の位置、座標等の情報を含む。
A2.石炭 主管部門:国家発展改革委員会、能源局
a) 産業の基本状況。主に企業数、分布、類型、従業員数、従業員分布等の情報を含む。
b) 産業の経済状況。主に産業の資産、負債、収入、利益、主要な経済指標、産業の資金状況等の情報を含む。
c) 産業の仕入状況。主に原材料の仕入量、仕入総額、仕入単価、仕入れ周期等の情報を含む。
d) 産業の生産状況。主に産業の産値(gross output value)、生産投入、労働生産率、生産効率、生産効率に影響する要素等の情報を含む。
e) 産業の売上状況。主に産業の市場規模、売上コスト、一人あたり売上、主要製品の販売価格等の情報を含む。
f) 産業の投資状況。主に産業の新規プロジェクト数、投資額、資金源等の情報を含む。
A3.石油化学 主管部門:能源局
a) 国家の石油産業、石油化学工業の年度および中期、長期発展計画の主要な経済技術指標と重大政策措置。
b) 石油化学工業の重要な生産物の年度輸入計画および未配分の外貨割当額。
A4.電力 主管部門:国家発展改革委員会、能源局(省略)
A5.通信 主管部門:工業情報化部
A5.1.計画建設類データ
主に通信ネットワーク、インターネット、情報システムの計画段階および建設過程で生成される重要なデータ。例えば、計画設計、建設プラン、災害時用バックアップシステムの設計・建設プラン、施設の地理的位置、ネットワークトポロジ、ルーティング情報、設備資産の購入リスト等。
A5.2.稼働メンテナンス類データ
主にネットワークおよび情報システムの稼働過程で生成、収集された重要なデータ。例えば設備およびソフトウェアの構成データ、IP アドレスの割当情報、ネットワーク・アドレス変換 (NAT)データ、トラフィックフローデータ 、ネットワークおよびシステムの稼働状況に関するデータ、ネットワークおよびシステムのメンテナンスログ、システムユーザー情報等。
A5.3.安全保障類データ
a) ネットワークおよび情報セキュリティ管理のデータ。例えば、ネットワークセキュリティの早期警戒監測情報、システムおよびデータのアクセス操作ログ、セキュリティ監査記録、ネットワークセキュリティ緊急時計画、違法有害情報のモニタリングおよび対応措置に関する情報、ユーザーアクセスログ、ユーザーの課金データ・インターネット利用履歴等の個人の通信データ。
b) 緊急通信データ。例えば緊急通信システムの計画・建設・運用に関するデータ、緊急通信インシデントの級別情報および緊急時計画、重大活動行動方案、保障計画情報、緊急通信機器物資の備蓄、緊急通信保障チームの配備等。
A5.4.無線電波データ
a) 国家の重要な産業、例えば交通運輸、漁業、海洋システム、航空、宇宙、軍事、ラジオ・テレビ等の産業で使用する国家の主権や安全にかかわる無線周波数および無線局の情報。
b) 衛星通信情報。主に衛星を使用して行う通信に関する情報で、衛星地上局の建設、衛星地上局の防災対策状況、衛星通信ユーザー等の情報。
c) セルラー移動通信基地局の地理的位置、基地局の建設、基地局の防災対策状況、基地局の送受信能力等の情報。
d) 無線の監測情報。主に無線観測所に関する情報で、監測所の地理的位置、アンテナの配備、設備の能力。監測する信号のサンプル、バンドのスキャンデータ、周波数占有率等の電磁環境情報。
e) 上述の情報のうち、ITU(国際電気通信連合)の MIFR(国際周波数登録原簿)に記録された情報は除く。国家無線電管理機構が ITU に申請中あるいは申請予定の無線ネットワークのデータを除く。
A5.5.統計分析類データ
主にネットワークおよび通信システムの稼働、あるいはユーザーが操作する過程で直接生成、収集した重要なデータおよびこれを統計分析して得られたデータ。例えば産業や企業の経営状況、ユーザーのネットワークでの行動習慣の分析情報、産業あるいは事業の動向予測情報等。
A5.6.その他の通信データ
a) 重要インフラ施設のネットワークの脅威に関するメタ情報。
b) 通信内容、プロトコル、レコード等のデータ。
c) インフラの基幹技術、基幹設備の主要な性能パラメータ、ネットワーク情報セキュリティの総合的な保護能力。
A6.電子情報 主管部門:工業情報化部
a) オペレーション関連データ。主に未公開の一定以上の規模(主要事業の年間売上が2,000 万元以上)がある電子情報産業企業の数量・生産額・売上・利益などの基本情報、未公開の新規プロジェクト数・プロジェクトの実行可能性報告・投資額・資金源等の投資状況、未公開の電子情報製品の輸出入貿易情報。
b) 産業発展データ。主に未公開の産業発展計画、発展の重点、直近の国家レベルおよび重点研究開発支援プロジェクト等。
c) 電子情報 100 強企業の業務データ。主に未公開の業務発展計画、投資融資計画、産値、売上、利益、研究開発費、研究者数等。
d) 電子情報製品のハードウェアの型番、重要パラメータ、ソースコードおよびコンパイルされたバイナリデータ、技術ソリューション、実験データ、テスト結果、重要なプロセス技術などの全ての技術資料。
e) 国防軍事領域、政務領域、公共サービス業域等の重要領域または重要産業における各種電子情報設備の販売情報および使用情報。例えば購入者のリスト、取引価格、取引数量、購入周期、購入した商品の型番、応用領域、納入先、買い替え頻度等。
f) 重要領域および重要産業における電子情報製品の使用過程での運行、メンテナンス、修理データ。例えば、使用する帯域や周波数など設備の稼働パラメータ、設備の故障頻度、故障原因、解決法、使用寿命等のメンテナンス記録。
g) 重要領域および重要産業における電子情報製品の使用過程で収集、保存、管理、分析した政府の秘密および商業秘密、個人のプライバシーに関する情報。これには地理地形、気候環境、衛星軌道、軍備配置等に関連する情報のほか、企業や組織が公開に適さないと判断した商業資料や個人の身分情報、財産情報、健康情報等の個人のプライバシーに関わる情報を含む。
A7.鉄鋼(省略)
A8.非鉄金属(省略)
A9.機械製造 主管部門:工業情報化部
A9.1.投資情報安全保障類機器および重要ハイテク機器の生産に関する投資情報。例えば軍事、航空宇宙機器等。
A9.2.重要機器出荷後のプロジェクト情報国民経済、国防施工等の重要領域における機器の長期間あるいは広い範囲での生産活動に関する情報。
A10.化学工業 主管部門:工業情報化部
a) 国家の主要な化学工業製品の生産能力、備蓄状況等の統計データ。重大化学工業製品の輸出入プロジェクトに関する情報。
b) 重要地区の化学工業経済プロジェクトの協議書、プロジェクト、計画および軍用化学製品の輸出に関する情報等。
c) 劇毒化学製品・爆発しやすい危険な化学製品の道路輸送・水上輸送・航空輸送等に関する情報。
d) 危険な化学製品の生産・備蓄企業の工場に設置された通信・警報装置・警備保護対策等に関する情報。
e) 機構が発行した化学工業企業の安全生産条件に対する評価報告。
f) 危険な化学製品の生産・備蓄施設の新築、改築、拡張プロジェクト、および危険な化学製品の港湾備蓄・積降施設の新築、改築、拡張プロジェクトに関する情報。
g) 化学工場の平面図、化学製品の備蓄保管庫の配置、床面積、容量、年間使用量、入荷元等の資料。
h) 企業が生産・備蓄する劇毒化学品、爆発しやすい危険な化学製品の数量、出荷等に関するデータ。
A11.国防軍備(省略)
A12.その他工業 主管部門:工業情報化部
a) 戦争および緊急戦争準備が発表された際の全国および各大地区の軍用製品の輸送、備蓄計画および執行状況。
b) 世界先進水準にあり、国民経済にとって大きな影響のある工業研究開発プロジェクトとその計画。
c) 国際水準にあり重大な経済公益のある科学研究成果における核心部分。
d) 全国の石油パイプライン、天然ガスパイプラインの敷設ルートおよび戦争用石油備蓄庫の位置情報。
e) 全国の石油備蓄庫の分布、統計データおよび関連資料。
f) 国防軍事工業生産にかかる発電、電力供給、電力使用の全体計画、個々の計画、統計資料。
g) 工業科学技術の重点発展課題のうち、安全に関係する重要な科学技術の内容。
A13.地理情報 主管部門:国土資源部(国家測絵地理信息局、国家海洋局)(省略)
A14.民用核施設(省略)A15.交通運輸 主管部門:国家交通戦備弁公室、交通運輸部、国家鉄路局、中国鉄路総公司
A15.1.以下の内容を含むか、集計分析することで以下の情報が確認・推測できるデータ
交通運輸に関連する情報通信システムの設定情報、無線周波数スペクトル(公開標準、国家の条約・法令で規定されたものを除く)
A15.2.以下の属性データのうち、単独では測定あるいは公開されているが、大量のデータが集約されれば国家の安全や軍事行動、あるいはテロへの安全保障に危害をもたらす可能性があるもの
a) 重要鉄道路線図、鉄道駅の配置、レールの敷設状況、倉庫のデータ等の資料。
b) 交通運輸プロジェクトの施工建設過程における地理、水文学、技術資料、レギュレーション等のデータ。
A16.郵政宅配便(省略)
A17.水利(省略)
A18.人口健康 主管部門:衛生計生委
a) 薬品および避妊薬・避妊具の不良反応(副作用や不具合等)報告および監測過程で得られた個人のプライバシー、患者および報告者の情報。
b) 突発的な公共衛生インシデントと感染症の監測過程で得られた感染症患者とその家族、密接に接触のあった人のプライバシーおよび関連する疾病、疫学の情報等。
c) 医療機構と健康管理サービス機構が保管する個人の電子カルテ、健康記録等の各診療・健康データ。
d) 生殖補助医療技術サービスにおける精子、卵子のドナーおよび使用者と当該サービスの申請人の個人情報。
e) 計画生育サービスの過程に関わる個人のプライバシー。
f) 個人および家族の遺伝情報。
g) 生命登記情報。
A19.金融(省略)
A20.信用情報(省略)
A21.食品薬品 主管部門:食品薬品監管総局
a) 国家の安全戦略に関わる薬品の審査過程で提出された薬品実験データ。例えば実験動物を使って行われた薬理、毒物、安定性、薬物動態等の試験データ、人体を使って行われる臨床試験データ、および薬品の生産過程、生産設備に関する試験データ。
b) 第二類・第三類医療機器の臨床試験データ、報告書。
c) 食品のトレーサビリティ情報、これには商品の名称、該当標準を含む。薬品のトレーサビリティ情報、これにはトレーサビリティコード、製品の名称、該当標準、成分、生産工程、ラベルを含む。
d) 食品薬品の安全に関する重大(緊急)情報。これには事件事故の発生日時、場所、現在の状況、危険の程度、初動対応、状況のすう勢、進展状況、後続対応措置、調査の詳細、原因分析を含む。
e) 大口の穀物加工商品(米、小麦粉等を含む)のサンプル検査の情報。
A22.統計 主管部門:統計局
A22.1.人口
a) 国勢調査の資料(姓名、性別、年齢、民族、戸籍登記状況、教育レベル、産業、人口流動、社会保障、婚姻、子、死亡、住宅の状況等を含む)。
b) 国勢調査を行う中で得られた調査対象者の身分が識別または推測できる資料。
A22.2.経済
a) 全国の国内総生産(GDP)の概算値。
b) 全国の一定規模以上の工業総産値および増加値、主要財務指標。
c) 全国のエネルギー消費原単位とその削減率。
d) 各省・自治区・直轄市のエネルギー消費原単位とその削減率。
e) 各省・自治区・直轄市の穀物、綿花の総生産量。
f) 全国の穀物、綿花の総生産量。
g) 各省・自治区・直轄市の工業生産者の出庫価格指数および主要な分類指数、購入価格指数および主要な分類指数。
h) 全国の工業生産者の出庫価格指数および主要な分類指数、購入価格指数および主要な分類指数。
i) 全国および各省・自治区・直轄市の主要工業製品の生産量。
j) 全国および各省・自治区・直轄市の不動産開発投資額、販売額、販売面積、建設業の総産値、増加値。
k) 全国および各省・自治区・直轄市の農林水産牧畜業の総産値、農業生産資料価格指数、商品小売価格指数、固定資産投資価格指数および主要な分類指数。
l) 全国および各省・自治区・直轄市の石炭等エネルギーの消費総量および増加率。
m) 全国および各省・自治区・直轄市の農村住民の一人当たり平均現金所得、一人当たり平均純所得、一人当たり平均可処分所得、一人当たり平均消費支出等。
n) 全国および各省・自治区・直轄市の都市部住民の一人当たり平均可処分所得、一人当たり平均支出。
o) 全国および各省・自治区・直轄市の住民の一人当たり平均可処分所得、一人当たり平均支出。
p) その他の国家の安全と経済利益に密接に関係する重要な合統計データおよび統計分析資料。
q) その他の全国あるいは比較的広い区域(ひとつ又は複数の省)の社会秩序および経済秩序に密接に関わる重要な統計データおよび統計分析資料。
A23 気象(省略)
A24.環境保護 主管部門:環境保護部
a) 各産業(領域)の環境汚染に関する重要な感染源について、未公開で長期間に及ぶ観測データおよび危害の程度、重大汚染事故の状況。
b) 大都市、中規模都市へ水を供給する水源について、未公開で長期間に及ぶ水質資料、主要な湖・河川の水質検査の資料、監測システムの情報。
c) 未公開で長期間に及ぶ都市の大気汚染観測資料および関連する監測システムの情報。
d) 未公開の中国全土の土壌汚染観測または調査データ。
A25.ラジオ・テレビ(省略)
A26.海洋環境 主管部門:国家海洋局
a) 海底の地形、海洋水文学、海洋気象、水中音環境、海洋物理等の監測および統計データ。
b) 領海内の熱塩循環、水中音、海底堆積物、潮汐、海流の実測データおよび関連成果。
c) 未公開の海洋生態環境観測データ。
A27.EC 主管部門:商務部
a) 個人が EC プラットフォームに登録した情報。これには姓名、性別、年齢、住所、婚姻状況、学歴、職業、収入、銀行口座、連絡方法等を含む。
b) 企業が EC プラットフォームに登録した情報。これには会社名、住所、ライセンス番号、経営許可範囲、銀行口座、連絡方法などを含む。
c) EC の取引記録および関係する個人の消費習慣、嗜好、企業の経営データ等。
d) EC の取引を行う双方の信用記録および信用評価情報。
e) EC プラットフォーム企業の経営データ。
f) EC 関連サービスの情報。これには決済、融資情報、物流情報等を含む。
g) 上述のデータを加工して生成した全国あるいは区域の経済動向や産業発展状況の統計分析報告等。
A28.その他重要データに該当する範囲は広く、本ガイドラインでは一部の産業(領域)の重要データについて列挙したに過ぎない。その他の重要なデータは以下の基準に従って判断、識別する。なお、産業(領域)の主管部門は当該産業の発展状況を元に、他に重要なデータがないか判断し、随時ガイドラインを更新すること。
a) 企業・機関が把握している特定の産業(領域)の全体状況を反映したデータで、当該産業(領域)と国家の安全、社会公共の利益が密接に関係するもの。
b) ある産業(領域)で芋づる式にリスクを引き起こす可能性がある企業・機関の全体的な運営状況に関するデータで、いったん完全性、機密性、可用性が損なわれれば、当該企業の安定した事業運営に顕著な影響があるもの。
c) 変更できないあるいは長期間安定が保たれている自然、経済、社会の特徴を反映したデータ。例えば地理的位置情報、地形学的特徴、鉱山の場所、民族の遺伝的特徴等。
d) 各種のデータを収集、集約する過程で識別、関連付け、統合できるデータ。例えば地理的位置情報、身分証番号、携帯電話番号、法人番号等。
e) 各産業の主管部門が重大な戦略、計画、意思決定において根拠とする当該産業(領域)の企業・機関から収集した一部のデータ。
f) 行政機関、法執行機関が職務の履行、法の執行過程において生成・収集した国家の安全、社会公共の利益、大量の個人のプライバシーに影響する可能性のある情報。
g) 1 件あるいは少数では国家の安全あるいは公共の利益に影響しないが、広い範囲をカバーするか長期間に及んだ場合、いったん国外に流出すれば危害や影響をもたらす特定の情報の集合体。
h) 1 件あるいは少数では国家の安全あるいは公共の利益に影響しないが、重要な区域あるいは時期にかかる場合、いったん国外に流出すれば危害や影響をもたらす特定の情報の集合体。
i) 重要情報インフラ施設のシステム設計、セキュリティ保護計画および戦略計画、ユニットや機器の選択、構成、ソフトウェア等のプロパティ情報およびぜい弱性の情報等。暗号技術が用いられているその他の国家の安全に関係するユニット、設備、機器、システムあるいは計画、設計能力、欠陥情報。
j) イデオロギー、世論等の文化の安全に関わる情報。
原文(中国語):http://www.tc260.org.cn/zyjfb.jsp?norm_id=20170221113131&recode_id=23883&idea_id=20170830211755&t=0.923550254656966