1. 管轄
国家インターネット情報弁公室に設けられたサイバーセキュリティ審査弁公室が、サイバーセキュリティ審査に関する制度の制定を行い、審査を担当する。(4条)
2. 審査の目的と対象
審査は基幹情報インフラ施設のサプライチェーンの安全確保と国家の安全を維持す る目的で実施される。審査では基幹情報インフラ施設運営者(以下「運営者」という)が 調達するネットワーク製品・サービスについて、その安全性および国家の安全に影響を 及ぼすリスク等について確認する。1 条、2 条、3条)
本弁法の対象となるネットワーク製品・サービスとは主に、ネットワーク設備、高性 能コンピューター・サーバー、大容量データ保存設備、大型データベースおよびソフト ウェア、ネットワークセキュリティ設備、クラウドコンピューティングサービス、およ びその他の基幹情報インフラ施設の安全に大きな影響を与えるネットワーク製品・サー ビスを指す。(20条)
3. 審査方法
(1)運営者が国家の安全に影響を及ぼすか、あるいは影響を及ぼす可能性があると考えられるネットワーク製品・サービスを調達する場合、サイバーセキュリティ審査弁 公室に審査を申請する。(5条)
(2) 審査では国家の安全に対するリスクについて次の要素が考慮される。(9条)
・ 製品・サービスの使用により、基幹情報インフラ施設の乗っ取り、妨害、破壊、 および重要データが盗難、漏えい、破壊されるリスク。
・製品・サービスの供給中断による基幹情報インフラ施設の業務の連続性へのリスク。
・製品・サービスの安全性、開放性、透明性、提供元の多様性と供給チャネルの 信頼性、および政治、外交、貿易などの理由により供給が中断されるリスク。
・製品・サービスの提供者が中国の法律、行政法規、部門規定を順守しているか。
・その他の機関情報インフラ施設の安全と国家の安全に危害を及ぼす可能性のある要素。
(3)審査期間は申請から最終的な結果が出るまでおよそ 60日だが、状況が複雑な場合にはさらに45日以上かかる場合がある。(8 条、10条、11 条、13 条)
(4)運営者が本弁法に違反した場合、サイバーセキュリティ法65条の規定に基づいて 処分する。(19条)
●原文(中国語) http://www.cac.gov.cn/2020-04/27/c_1589535450769077.htm
本レポートは「中国法令アラートサービス2020年5月号」の内容を一部抜粋、編集したものです。