2017年に中国サイバーセキュリティ法が施行されてから6年が経過した。ここ数年、中国においては個人の情報保護意識が高まり、サイバーセキュリティの重要性も高くなってきている。それと同時に、当局からのサイバーセキュリティ対応の目は厳しくなってきている。サイバーセキュリティ法の等級保護認証取得の際、企業は社会的影響度を鑑みたインシデントレベルをベースに等級が決定される。
以下は、中国の現地メディアが伝えた2022年のサイバーセキュリティインシデント事件の一部である。事件の概要とともに、適用された法令と罰則・罰金を整理した。なお「※調査中」とは、現地当局にて調査中であり、該当法令や罪状認否についてまだ結果が出ていない状態を示している。
| 主体 | 事件内容 | 法令 | 罰則罰金 | 原文 | |
|---|---|---|---|---|---|
| 1 | モバイルゲームの著作権侵害事件 | 2022年7月、有名モバイルゲームの著作権侵害事件が発生した。あるネットゲーム開発企業は、「魔力宝贝回帰」V1.0というゲームの開発を委託したが、ソースコードが盗まれ他の企業によって運用され、莫大な経済的損失を受けた。捜査の結果、容疑者は会社を辞めたばかりの元副社長であることが判明し、彼は以前の会社のソースコードを直接横領して同様のゲームをコピーし、 2300万元以上の不当な利益を得たとされる。 | 刑法、著作権法 | ゲーム配信停止、責任者を逮捕。公安機関調査中 | ◯ |
| 2 | 学習アプリの個人情報漏洩事件 | 2022年6月、学習アプリの「学习通」は1億7000万件の学生関連情報を流出させた。「学习通」は中国国内で大学のオンライン試験、課題のアップロードなど、多数の学生が利用している。 | 調査中※ | 調査中※ | ◯ |
| 3 | 地方銀行のサイバーセキュリティ法違反事件 | 2022年11月、遼寧省銀行保険監督管理局が発行した第89号の行政処罰決定によると、盘锦銀行は規制要件の実施に重大なミスを引き起こしたとされる。機密データ情報が漏洩するリスクがあり、外部委託管理責任が欠如しているなど、情報が行内に隠蔽されていた。本件事件やその他の法令違反には140万元の罰金が科せられた。 | 銀行業監督管理法、サイバーセキュリティ法、データセキュリティ法 | 140万元の罰金 | ◯ |
| 4 | 国有銀行のサイバーセキュリティ法違反事件 | 2022年7月、上海銀行保険監督管理局は中国建設銀行の上海支店に対し50万元の罰金を科した。行政処罰情報によると中国建設銀行の上海支店は、2018年4月から2018年10月まで情報セキュリティと従業員の行動管理における慎重な運用規則に重大な違反をしたとして是正を命じられた。 | 銀行業監督管理法、サイバーセキュリティ法、データセキュリティ法 | 是正を命じられ、50 万元の罰金、責任者停職10年 | ◯ |
| 5 | テック企業の違法な個人情報違法収集事件 | 2022年2月、北京のテック企業がクローラープログラムを使い、違法に個人情報の収集を行った。求職者とプラットフォームの直接の許可なしに同社は求職者の履歴書データを密かにクロールし、2億1000万人分を超える個人情報が流出したとされる。 | 刑法(国民個人情報の侵害罪) | 会社に4000万元の罰金、犯罪者には懲役7年、1000万元の罰金 | ◯ |
| 6 | 中国国内の金融機関40行が被害を受けたハッキング事件 | 2022年9月、中国国内のハッカーがトロイの木馬を使用して2000 台以上のコンピューターを不正に制御し、40行を超える国内金融機関のイントラネット取引データベースに侵入した。取引指示書と複数のインサイダー情報を不正に入手し関連株取引を実行、被害は183万元にのぼった。 | 刑法(コンピュータ情報システムデータの違法取得、コンピュータシステムの違法制御罪、インサイダー取引罪) | 容疑者に懲役6年、違法所得183万元の没収、369万元の罰金 | ◯ |
| 7 | 生命保険会社社員による顧客情報漏洩事件 | 2022年11月、平安生命保険のスタッフが4万人分を超える顧客情報を漏洩して処罰された。関係者の多くは有罪判決を受け無期懲役。 | 保険法、個人情報保護法 | 責任者の停職、罰金 | ◯ |
| 8 | EVメーカーのアプリ経由で個人情報が大量に漏洩した事件 | 2022年12月、上海蔚来汽車(NIO)の公式アプリのコミュニティに同社の顧客情報をハッキングしたと称する人物が現れ、データの入った大量のファイルを示した上で取引を持ち掛けた。データにはNIOの業務や顧客、社員情報や受注情報、取引先担当者の連絡先のほか、車の所有者の住所や身分証情報、さらにはローン情報など、重要な個人情報が含まれていた。データの取引価格はビットコインで示されており、例えば社員情報2万2800人分は0.15ビットコイン(約33万円)、車の所有者の身分証情報3万9900人分は0.25ビットコイン(約55万円)、すべてのデータをパッケージしたものは1ビットコイン(約220万円)だった。 | 調査中※ | 調査中※ | ◯ |
| 9 | 上海随申码の個人情報漏洩事件 | 2022年8月、流出した上海随申码データベースが、 ダークウェブフォーラム上で4000米ドル (約 27000人民元) でオークションにかけられた。ユーザー名、携帯電話番号、ID 番号、UUID、随申码データを含む 4850万人分のユーザーのデータが含まれていることが判明した。 | 調査中※ | 調査中※ | ◯ |
| 10 | 水道会社がデータセキュリティ保護対応を怠ったため、当局から罰金が科せられた事件 | 2022年11月、ある水道会社の支払いシステムにデータセキュリティ保護義務・保護措置が講じられていなかった。そのため、データセキュリティ法やその他の法令違反にもとづき、罰金が科せられた。 | データセキュリティ法、湖南省ネットワークセキュリティおよび情報化条例 | 警告と是正命令を出し、行政処分として会社に罰金 | ◯ |
| 11 | 米国国家安全保障局(NSA)による中国の大学へのハッキング事例 | 2022年9月5日、中国コンピュータウイルス緊急対応センターと360株式会社は、西北工業大学の海外でのサイバー攻撃に関する調査レポートを公表した。調査報告によると、米国国家安全保障局(NSA)は西北工業大学を攻撃し、同大学の主要なネットワーク機器構成、ネットワーク管理データ、運用および保守データ、その他のコア技術データを盗むことに成功したとされている。 | 調査中※ | 調査中※ | ◯ |
| 12 | 地方ネットバンクの個人情報保護法違反事件 | 浙江省网商銀行に対し4つの違反が発覚した。財務統計管理に関する関連規則の違反、口座管理および清算管理に関する関連規則の違反、 信用管理に関する関連規則の違反、 顧客の身元情報と取引記録を遵守する規制の疑わしい取引の報告義務を怠る行為、未知の顧客との取引を行う行為。 | 銀行業監督管理法、個人情報保護法など | 警告を与え、2236万5000元の罰金 | ◯ |
| 13 | 北京冬季五輪に乗じた詐欺グループ摘発事件 | 2022年2月、江蘇省南通市の警察は、北京冬季五輪に関する知識を広める詐欺事件を発見した。容疑者2名は、冬季五輪組織委員会の許可なしに「冬季オリンピック知識競技プラットフォーム」を開発し、全国の大学の学生の350万件を超える個人情報を違法に取得した。一部の参加者は詐欺に遭い、合計1000万元以上の被害が発生した。 | 刑法、個人情報保護法 | 調査中※ | ◯ |
現状、日系企業に関する重大インシデント事例は確認できていない。しかし、インシデントを起こさないためのリスクアセスメントは今後も重要度が増していくと考えられる。インシデントが引き起こすレピュテーションリスクだけでなく、ガバナンス体制も含めて企業は対応を求められていくだろう。
クララコンサルティング事業部では各種中国サイバーセキュリティ法対策、中国現地法人のガバナンス体制構築に関するご相談を随時お受けしております。
