中国サイバーセキュリティ法の内容と罰則、対策方法とは

2017年6月1日、インターネット領域のセキュリティに関する基本法となる「中国サイバーセキュリティ法 (Cybersecurity Law of the People’s Republic of China)」が施行されました。本法の対象はIT企業だけでなく、メーカーや小売事業者まで、中国国内に拠点を持つ様々な業種・業態の企業が含まれます。

本法は関連規則のアップデートが早く、非常に重要性が高い法令です。しかし更新の速さも相まって、日本語での解説や情報が見つけづらいのが実情です。そこで、中国ビジネスにおけるコンサルティング支援を提供している我々クララオンラインが、「中国サイバーセキュリティ法とは?」といった基礎的な説明から実務的な影響まで、わかりやすくお伝えします。

2021年9月に施行のデータセキュリティ法については下記よりご確認ください。

記事を読む

第1章:中国サイバーセキュリティ法の概要

1.中国サイバーセキュリティ法とは

「网络安全法(網絡安全法)」いわゆる中国サイバーセキュリティ法は、2017年6月に施行されました。

中国サイバーセキュリティ法は、主に下記の6項目について定めた、中国のサイバー領域における基本法です。

中国国内でインターネットやITサービスを運営、あるいは利用しているあらゆる企業が適用の対象となります。もちろん外資企業も対象に含まれるため、中国でビジネスを展開する上で本法への対策は避けて通れません。

また、本法の関連規制は現在も段階を踏んで次々と公布されており、当局がサイバーセキュリティ領域の統制に注力していることが読み取れます。

2.制定の背景

中国サイバーセキュリティ法が出された背景には、急速に変化する中国のインターネット事情があります。主に次の4つの点で、国家・国民の利益を保護するにはサイバー領域で根拠となる法令が必要だと判断されました。

(1)年々増加するネットワークインシデント
インターネット分野で発生するインシデントは年々増加しており、そのほとんどが中国国外からの攻撃だといいます。そのため、国家機密の安全保障や情報管理に関する法規制の整備が急務となりました。

(2)ネットワーク製品・サービスに関する国家基準の統制
中国サイバーセキュリティ法の制定前は、アンチウイルスソフトやファイヤーウォール製品といったネットワーク製品における国家基準が明確でなく、業界ごとの基準が混在している状況でした。そのため、ネットワーク製品の安全性を保障するために、各製品を審査する必要性が出てきました。また、もともとあった電信条例(※)との関係性も踏まえて、新たな基準を整備することが必要でした。(※電信条例とは、通信分野全体に関する法規制です)

(3)実名制の浸透の遅れ
政府はかねてより固定回線・携帯・ISP契約などの実名登録制を推進してきましたが、いまだ徹底はされていません。また、インターネット上の掲示板やSNSを通じた誹謗中傷やデマの拡散が治安に悪影響があると判断されたこともあり、法律で実名登録制を定め、情報統制をすることが必要となりました。

(4)個人情報保護意識の低さ
中国では個人情報保護に対する意識が低く、人々も自分の個人情報の扱いに寛容です。しかしアメリカやEU諸国、日本などの諸外国が制定するサイバーセキュリティ領域に関する法令とのバランスを考える必要もあり、個人情報の取り扱い規則や不正利用に対する罰則の設定が必要となりました。

3.中国サイバーセキュリティ法の適用範囲

本法は、中国国内でインターネットを含むネットワークを利用したり、システムを運用・保守・使用しているあらゆる企業が適用対象となります。内資・外資を問わず、IT企業だけでなく、メーカーや小売事業者、日本企業の駐在事務所までも含まれます。その中でも、中国サイバーセキュリティ法では、「ネットワーク運営者」及び「重要情報インフラ運営者」の責務を中心に規定しています。

【ネットワーク運営者とは】

ネットワーク運営者とは「ネットワークの所有者、管理者及びネットワークサービスプロバイダ(76条3項)」と定義されており、広範な定義となっています。少々乱暴ではありますが、インターネットやインターネットを通じたサービスを利用・運用していたり、社内でイントラネットを使ったシステム等を利用している企業は全て「ネットワーク運営者に該当する」と考えてよいでしょう。

ネットワーク運営者の例

  • インターネットプロバイダー
  • 電子商取引プラットフォームの運営企業
  • ウェブページを通じて対価なしに情報を伝達する等の非営利性のサービスを提供する企業
  • 企業グループ内のイントラネットを運用している企業

ネットワーク運営者の責務・・・下記の条項でその責務が定められています。

  • インターネット運営者の安全保護義務の履行(第21条)
  • インターネット実名制の実施(第24条)
  • インターネットの安全を脅かす事象に対する緊急対応策の制定(第25条)
  • 国の安全の維持のための捜査協力及び技術提供(第28条)

※サイバーセキュリティ法における「インターネット」とは、「コンピュータ又はその他の情報端末及び関連設備で構成される、一定の規則及びプログラムに従い情報を収集し、保存し、伝達し、交換し、処理するシステム」とされていることから(第76条第1号)、例えば会社グループ内のイントラネットを運用している場合も、当該会社は「インターネット」を所有又は管理しているとして、「インターネット運営者」に該当する可能性があります。

【重要情報インフラ運営者とは】

重要情報インフラ運営者とは、「公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要な産業及び分野、並びにひとたび機能の破壊、喪失又はデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラの運営者」と定義されています。これらの産業に従事する企業が該当すると考えられます。

重要情報インフラ運営者の例

  • 生活インフラ・・・ 例:政府機関、エネルギー、金融、交通、水利、公共サービス等
  • ネットワーク・マスコミ・・・ 例:通信、ラジオ、テレビ、インターネット、クラウド、ビッグデータ等
  • 科学技術・・・ 例:国防科学技術、大型機器、化学、食品、医薬品等

重要情報インフラ運営者の責務・・・特別な義務が課せられています。

  • 社内に専門の安全管理機構を設置し、安全管理責任者を確定
  • インターネットのセキュリティ業務上、重要職位にある専門技術者について、資格に基づく勤務制度を実施
  • 従業員に対し定期的にインターネットセキュリティ教育、技術訓練および技能テストを行い、重要システムおよびデータベースについてバックアップを作成

【具体的な対象企業例】

中国サイバーセキュリティ法の対象となる具体的な事例をご紹介します。

第2章 中国サイバーセキュリティ法の罰則

1.違反時のリスク

サイバーセキュリティ法の違反が認められた場合には、違反に対する処罰だけでなく、処罰に伴う事業停止などによるビジネス機会の損失、社会的信用の棄損といったリスクがあります。 特に違反状況の改善が完了するまで業務停止を求められた場合、その間の収益が止まってしまうことが最も大きなリスクとなります。

また、処罰の対象は企業だけではなく、責任者個人にも過料が科せられます。そのため責任者自身が違反リスクを理解しておく必要があります。

2.罰則

違反状況の改善要求に加え、違反の内容によって次の処罰が科せられます。

  • 法人・個人(安全責任者)に100万元以下の罰金(日本円で約1,500万円)
  • 刑事罰の適用
  • 法令順守の対応ができるまで事業停止
  • 違反所得の没収

実際の処罰事例はこちら
サイバーセキュリティ法の執行事例 (2019年時点)

第3章:中国サイバーセキュリティ法の対策

特に中国ビジネスを展開する日本企業へ求められる対策は、大きく分けて次の2つです。

1.等級安全保護に定められたセキュリティ要件

等級安全保護制度とは、情報システムを重要度(損壊時の影響範囲、被害規模)によって5等級に区分し、各等級の対応範囲、運営者の義務と対応措置などを定めた制度です。中国のサイバーセキュリティ領域における最も重要な制度で、中国サイバーセキュリティ法においても順守が求められています。

2007年に施行された「情報等級安全保護管理弁法」において定められました。2018年6月には、これをアップデートした「ネットワークセキュリティ等級保護条例(意見募集稿)」(通称:等級保護2.0)が公表されています。

ほとんどの日系企業は1級~2級に該当するため、2級で求められるセキュリティレベルをクリアする必要性があります。
2級では、中国国内で構築・運営・メンテナンス・使用している情報システムについて、管理面および技術面から次の対策が必要となります。

  • 管理体制の整備
  • 責任者の任命
  • セキュリティポリシーの作成
  • インシデント発生時の危機管理計画の策定
  • 技術的施策の実施
  • ログの6カ月保管
  • バックアップ・暗号化の実施
  • 攻撃・漏洩対策
  • ネットワーク監視
  • 政府認可のネットワーク製品やセキュリティ製品の使用

2.個人情報・重要データの国内保存義務化と越境移転制限

(1)個人情報・重要データの定義

個人情報とは、電子的あるいはその他の方式で記録された単独、あるいはその他の情報と組み合わせることで、自然人個人の身分が識別できる各種情報を指します。
例:自然人の姓名、生年月日、身分証番号、個人の生体認証情報、住所、電話番号、連絡先情報、ID・パスワード情報、財産の状況 等

一方、重要データについては中国サイバーセキュリティ法には明文化された規定が存在しません。ただし関連法令の記述を整理すると、現時点ではおおむね次のデータが対象となると考えられます。なお、重要データには一般的に企業の生産管理・内部管理情報、個人情報等は含まれないと規定されています。

  • 50万人以上を含む、又は累計で50万人以上を含む個人情報
  • データ量が1,000GBを超える場合
  • 原子力施設、化学・生物、国防軍需産業、人口・健康等分野のデータ、大型プロジェクト活動、 海洋環境及び機微な地理的情報データ等を含む場合
  • 重要情報インフラのシステムの脆弱性、セキュリティ防御等のネットワーク安全情報を含む場合
  • 重要情報インフラの運営者が国外に個人情報及び重要データを提供する場合
  • その他国の安全及び社会公共の利益に影響を及ぼす可能性があり、業種主管部門又は監督管理部門が評価を行うべきと認める場合

(2)国内保存義務とは

本法では、中国国内での運営において収集・生成した公民の個人情報および重要な業務データは中国国内に保存し、業務利用のためこれらを海外に提供する場合、規定に従いセキュリティ評価を行うことが定められています(37条)。よって、中国国内で収集・生成した個人情報や重要データは中国国内のデータセンター等に保存しなければなりません。従来は、中国のオフィスから直接海外のサーバーにデータを送信・保存していたり、日本本社のサーバを利用しているケースもありましたが、現在これらの方法は違法となります。

(3)データ越境移転とは

ネットワーク運営者がインターネットを通じて、中国国内で収集・生成した個人情報や重要データを中国国外の法人、組織または個人に、直接もしくは業務・サービス・製品などを通じて提供し、一時的または継続的に利用することを指します。いわゆる海外へのデータ持ち出しです。必ずしもすべてのデータの越境移転を禁じているわけではなく、個人情報と重要データの越境移転時に、規定に沿って自社または当局で安全評価を実施すれば越境移転が可能となります。

特に日本企業において、データの越境移転に該当しやすいパターンは次の5つです。

一方で下記のようなケースはデータの越境移転に該当しません。

  • 中国国外で収集・生成した個人情報および重要データを、変更または加工せずに中国を経由して中国国外へ移転する場合
  • 中国国外で収集・生成した個人情報および重要データを中国国内で保存・加工した後に中国国外へ移転するが、この中に中国国内で収集・生成した個人情報および重要データが含まれていない場合

3.中国サイバーセキュリティ法への対応

(1) 定期的な情報収集と早期の体制作り

関連法令は今後もアップデートされることが予測されるため、定期的な情報収集と柔軟な対応が求められます。中国サイバーセキュリティ法はまだ施行から数年しか経っておらず、明確な方法論が確立されていないのが現状です。しかしすでに適用フェーズに移っており、実際に処罰事例も出ていますので、日本企業においては早急な対応を行う必要があります。

中国サイバーセキュリティ法対策は、いざ問題が起こったときに対応するのでは間に合いません。規定に沿った体制づくりや現場へ浸透は年単位で長期間かかるため、違反が指摘された際の業務停止といったリスクの大きさを考えると、早めの検討・対策が必要となります。

(2)現場レベルでの体制整備

現実には何から対策をすればいいのか分からない、誰に相談すればいいのか分からないという手探りの企業も多いと思われます。『インシデントは現場で起こる』ということを中国ビジネスで実感されている方も多いのではないでしょうか。

日本国内で体制づくりを推進する場合、現場にガバナンスを効かせ、正しくコントロール出来るかが、中国ビジネスを安定稼働させるカギとなります。正解がない中でどのように進めるのかについては、現状のリスクを洗い出し、可視化するところから始めることをお勧めしています。

(3)法対策のPDCA

1 情報の精査・・・各法令を読み解き、自社に当てはまるリスクを洗い出します。
2 対策検討・・・現状のリスクを把握し、各リスクの対応策を検討します。
3 構築・実行・・・自社のルール・体制作りを行い、実施する。
4 モニタリング・・・定期的に実施状況をモニタリングする。

中国サイバーセキュリティ法で定められている内容は、基本的な原則です。実際にどこまでのレベルでどのような対応をすべきかについては、業界ごと、企業ごとに異なるため、個々の企業が検討する必要があります。しかし、法の解釈や業種・業態に合わせた対応方法を自社で判断するのは難しいものです。

もし自己判断で対策を行った結果、違反が指摘され、処分された場合、経営にクリティカルな損失を与えてしまいます。現実的には、中国の法律を理解している弁護士や中国ビジネスの実例を多く知るコンサルティング会社等に相談してすすめると良いでしょう。


【無料ダウンロード】中国サイバーセキュリティ法をリーガルコンサルタントが解説したガイドブック!

中国の弁護士資格を保有したリーガルコンサルタントが中国サイバーセキュリティ法について詳細に解説したガイドブックを、今なら無料でダウンロードいただけます。

▼ 中国サイバーセキュリティ法 入門ガイドを読むと・・・

  • 中国サイバーセキュリティ法について理解が深まる!
  • 中国サイバーセキュリティ法の罰則事例から自社のリスク管理に役立つ!
  • 中国サイバーセキュリティ法の対策方針が分かる!

中国サイバーセキュリティ法対策

クララオンラインでは中国弁護士資格を保有するリーガルコンサルタントが中国サイバーセキュリティ法の対策や改善方法までをご支援させていただいております。詳細は下記より御覧ください。

中国サイバーセキュリティ法 対策サービス

クララオンライン コンサルティング事業部

クララオンライン コンサルティング事業部

中国ビジネスをワンストップでご支援するクララオンラインコンサルティング事業部