中国サイバーセキュリティ法の違反・処分事例まとめ(2021年)

2017年6月1日にサイバーセキュリティ法が施行されて間もなく5年、2019年1月1日に電子商取引法が施行されて3年が過ぎた。それぞれの関連法令も整備が進み、サイバー領域の違法行為や犯罪に対する取り締まりは強化されつつある。

本稿では中国の現地メディアが伝えた2020年末から2021年のサイバーセキュリティ法に関連した違反・処分事例の概要を翻訳して紹介する。

違反事例

病院によるネットワークセキュリティ保護義務違反:2021年6月

瀘州市の病院がサイバー攻撃を受け、病院システム全体がダウンした。公安局の調査の結果、病院はセキュリティ管理体制や運用手順を整備しておらず、ネットワークセキュリティ責任者を選定していなかったこと、サイバー攻撃を防止するための技術的措置を講じていなかったことが判明した。

公安当局は、サイバーセキュリティ法21条および59条に基づき、同病院に是正命令と警告の行政処分を科した。

広安市の企業によるネットワーク保護義務違反:2021年2月

広安市のある企業が使用していたスマート政務統合プラットフォームがハッキングされ、システムファイルが暗号化されて身代金を要求された。公安当局の調査の結果、同社はセキュリティ管理体制や運用手順を整備しておらず、サイバー攻撃を防止するための技術的措置を講じていなかったうえ、重要なデータのバックアップや暗号化を行っていなかったことが判明した。

公安当局は、サイバーセキュリティ法21条および59条に基づき、同社に1万元の過料、同社の直接の責任者に5000元の過料を科す行政処分を行った。

涼山市の企業によるセキュリティ保護義務違反:2021年

公安当局は、市内の学校から生徒60人以上の高校入試の結果が何者かによって改ざんされたとの報告を受けた。調査の結果、被害に遭った学校のホームページはパスワードのセキュリティレベルが低く、ネットワークの脆弱性もあったことから、進学の望みのない犯人が復讐心からホームページを改ざんしていたことが判明した。

公安当局はサイバーセキュリティ法64条に基づき、同校に対して行政警告を行い、期限付きの是正を命じた。

広元市の企業による個人情報保護義務違反:2021年7月

広元市のある企業が代理店のセキュリティ教育及び日常監督を強化せず、個人情報保護義務に基づく必要な監督及び技術措置を取らなかったため、代理店の従業員がその地位を利用して、顧客の携帯電話番号やSMS認証コードを第三者に提供していたことが発覚した。

公安当局は、サイバーセキュリティ法22条、41条及び46条の規定により、当該企業に行政警告を行い、違法行為を行った代理店の従業員4人を拘束した。この事件に関して、公安当局は24人に行政調査と処分を、4人に刑事調査と処分をそれぞれ行い、事件に関連する電話番号のカード3100枚を押収、違法な利益は20万元以上に上った。

成都市の企業によるネットワーク情報セキュリティ管理義務違反:2021年4月

成都公安局が市内の企業にネットワークセキュリティ監督検査を行ったところ、ある企業が購入した著作権付き楽曲について、内容を審査せずに公開していたため、インターネット上で違法・有害情報が拡散していることが発覚した。

公安当局は、同社がネットワーク情報セキュリティ管理義務を果たしていないとして、サイバーセキュリティ法47条および64条に基づき、同社に行政処分として50万元の過料を科した。

南中市の不動産会社によるセキュリティ保護義務違反:2021年2月

南中市の不動産会社が、所有物件に顔認証入退室管理システムを導入し、居住者の氏名、身分証番号、住所表示、顔認証用写真などの個人情報6000件以上を収集していたが、必要なセキュリティ技術保護措置を実施しておらず、ネットワークセキュリティ責任者を選定していなかった。またシステムの ログインパスワードが保存されており、誰でも直接ログインできる状態になっており、個人情報漏洩の危険性があった。

公安当局は、サイバーセキュリティ法21条および59条に基づき、当該不動産会社に対して警告の行政処分を下した。

綿陽市の企業によるセキュリティの保護義務違反:2021年3月

綿陽市に住むある市民が市内の企業が運営するホームページを訪問した際に、掲載されている広告からチャットソフトをダウンロードして使用したところ、一度に3万元もの料金を騙し取られた。

公安当局の調査の結果、当該ホームページは以前から危険度の高い脆弱性を多数抱えていたことが分かった。公安当局は、サイバーセキュリティ法25条および59条に基づき、当該ホームページを運営する企業に対して1万元の過料、同社の法定代表者個人に5000元の過料を科した。

紫紺市の企業による個人情報の不正取得:2021年5月

紫光市の企業で、従業員が会社の同意を得て市民の個人情報14000件以上を7000元で不正に購入し、入手した個人情報を社内で共有した上で、これらの情報を使って学生の募集を行っていたことがわかった。

公安当局は、個人情報の不正入手にあたるとしてサイバーセキュリティ法44条および68条に基づき、同社に30万元の行政処分を科した。

成都市の企業によるネットワーク情報セキュリティ管理義務違反:2021年6月

チャットアプリを運営する成都市のある企業が、グループチャットの発言内容、写真、音声を厳しく監査せず、違法・有害情報を適時に削除しなかったため、グループチャット内で違法・有害情報が大量に公開された。

公安当局は、サイバーセキュリティ法47条および64条に基づき、同社に10万元の過料、同社の技術責任者に1万元の過料を科した。

広安市の企業によるネットワーク情報セキュリティ保護義務違反:2021年3月

広安市のある企業が運営するポータルサイトがサイバー攻撃によって改ざんされた。

公安当局の調査結果によれば、同社の情報システムには必要なファイアーウォールが設置されておらず、トラフィック監視ソフトもインストールされていなかった。さらにサイトへのアクセスログも記録されておらず、サイバー攻撃を防止するための技術的対策がとられておらず、ポータルサイトの構築完了後もセキュリティポリシーや等級評価などのセキュリティ保護対策が実施されていなかった。

公安当局は、サイバーセキュリティ法21条および59条に基づき、当該サイトの運営会社に1万元の過料、同社の直接の責任者に5000元の過料を科した。さらに当該サイトの運営を委託されていた企業にも1万元の過料、直接の責任者に5000元の過料を科した。

ウォルマートのネットワーク情報セキュリティ保護義務違反:2021年11月

深セン市にあるウォルマート中国の社内ネットワークにセキュリティホールが19カ所見つかったが、同社は適時に対応していなかった。

公安当局はサイバーセキュリティ法25条および59条に基づき、警告及び是正命令の行政処分を行った。

林海市の照明器具メーカーのネットワーク情報セキュリティ保護義務違反:2020年12月

林海市の公安局の日常検査によって、照明器具メーカーがホームページを開設したものの、内部セキュリティ管理システム及び運営手順を策定しておらず、ネットワークセキュリティ保護義務を履行していないことが発覚した。

 公安当局はサイバーセキュリティ法21条、25条および59条第1項に基づき、警告の行政処分を行った。

中国語原文

https://www.wangan.com/p/7fy7fgab26846a79
https://baijiahao.baidu.com/s?id=1726882809230826231&wfr=spider&for=pc

クララオンライン コンサルティング事業部

クララオンライン コンサルティング事業部

中国ビジネスをワンストップでご支援するクララオンラインコンサルティング事業部