2021年7月12日、工業情報化部は「インターネット製品セキュリティホール管理規定」を公布した。ネットワークに関連する設備やソフトウェア製品の脆弱性を管理し、サイバーセキュリティ上のリスクを防止するための規定で、2021年9月1日より施行されている。
中国で事業を行う外資系企業も広く対象となると想定される規定であるため、本稿では同規定の重要な条文を抜粋し、日本語参考訳で紹介する。
目的と対象
ネットワーク製品のセキュリティ上の脆弱性の発見、報告、修復、公開を規制し、サイバーセキュリティ上のリスクを防止するため、サイバーセキュリティ法に基づき本規定を制定する。(1条)
中国国内のネットワーク製品(ハードウェア、ソフトウェアを含む)の提供者、ネットワーク運営者、ならびにネットワーク製品の脆弱性の発見、収集、公開等の活動に従事する組織または個人は、本規定を遵守しなければならない。(2条)
脆弱性への対処義務
ネットワーク製品の提供者、ネットワーク運営者、およびネットワーク製品の脆弱性情報収集プラットフォームは、脆弱性に関する情報の受付窓口を開設し、当該情報の受信ログを6カ月以上保存しなければならない。(5条)
ネットワーク製品の提供者は、次の脆弱性管理義務を果たし、製品の脆弱性を速やかに解消して、セキュリティパッチの公開を保証するとともに、製品利用者が予防措置をとれるよう支援しなければならない。(7条)
- 提供するネットワーク製品に脆弱性があることを発見または知らされた後、直ちに対策を講じ、脆弱性による被害や影響の程度を評価しなければならない。また当該製品の上流製品・コンポーネントの脆弱性についても、直ちに関連する製品提供者に通知しなければならない。
- 脆弱性の情報は、2日以内に工業情報化部のサイバーセキュリティ脅威脆弱性情報共有プラットフォームに報告しなければならない。 報告は、脆弱性が存在する製品の名称、モデル、バージョン、脆弱性の技術的特性、危険性、影響範囲を含むものとする。
- 製品のユーザー(川下のベンダーを含む)にソフトウェアやファームウェアのアップグレードなどの対応を求める場合は、ユーザーに脆弱性のリスクと対処方法を速やかに伝え、必要な技術サポートを提供しなければならない。
ネットワーク運営者は、利用するネットワーク、情報システムおよび設備にセキュリティ上の脆弱性が存在することを発見、又は知らされた場合、直ちに当該の脆弱性を検証し、解消するための措置を講じなければならない。(8条)
禁止事項
いずれの組織または個人も、ネットワーク製品の脆弱性を利用してサイバー攻撃を行ってはならない。ネットワーク製品の脆弱性に関する情報を不正に収集、販売または公表してはならない。他者がネットワーク製品の脆弱性を利用したサイバー攻撃を行っていることを知りながら、その者に技術支援、広告宣伝、代金決済などの支援を行ってはならない。(4条)
組織または個人が設立するネットワーク製品の脆弱性情報収集プラットフォームは、工業情報化部に届出登録を行わなくてはならない。(10条)
罰則
ネットワーク製品の提供者が、本規定に基づいてネットワーク製品の脆弱性の解消や報告を行わない場合、工業情報化部と公安部はそれぞれの職責と法に基づいて処分を行う。サイバーセキュリティ法60条に該当する場合は、当該規定に基づいて処罰する。(12条)
ネットワーク運営者が本規定に基づいてネットワーク製品の脆弱性の解消や予防措置を行わない場合、主管部門が法に従って対処する。サイバーセキュリティ法59条に該当する場合は、当該規定に基づいて処罰する。(13条)
本規定に違反して、ネットワーク製品の脆弱性に関する情報を収集、発表した場合、工業情報化部と公安部はそれぞれの職責と法に基づいて処分を行う。サイバーセキュリティ法62条に該当する場合は、当該規定に基づいて処罰する。(14条)
ネットワーク製品の脆弱性を利用してサイバーセキュリティを危険にさらす行為を行うか、あるいはそのために技術的支援を提供した場合、法律に基づいて公安機関が処分を行う。サイバーセキュリティ法63条に該当する場合は、規定に基づいて処罰するものとし、犯罪に該当する場合は、刑事責任を追及する。(15条)
本規定に対する見解
本規定はサイバーセキュリティ法の下位法令として定められたもので、ネットワークに関連する設備やソフトウェア製品のセキュリティ上の脆弱性とその情報を管理するための内容となっている。
対象となるのは、中国国内のネットワーク製品の提供者、ネットワーク運営者、脆弱性情報の発見・収集等を行う組織または個人である。
このうち「ネットワーク運営者」とは、サイバーセキュリティ法76条で「ネットワークの所有者、管理者、およびネットワークサービス提供者」と定義されており、実務上は、会社のWEBサイトを公開したり、業務でインターネットを利用したりする一般の企業も広く「ネットワーク運営者」に含まれると解釈されている。よって、中国で事業を行う日系企業も本規定の対象になることが想定される。
中国国内で各種ネットワーク製品の販売等を行っている事業者については、製品に脆弱性が発見された場合の対応や当局への報告が定められている。
これ以外の多くの事業者は、日系企業も含めて、脆弱性情報の受付窓口を開設するとともに、受付履歴のログが6カ月以上保存されるよう速やかに対応を進める必要がある。
当然ながら、社内で利用しているネットワークや情報システム、ネットワーク設備等に脆弱性が発見された場合、直ちに対策を行うことが求められており、脆弱性に対応しない場合には罰則が定められている。
また企業や個人がSNS等で、安易に脆弱性情報を発信すると罰せられる可能性があることから、社内教育を徹底するなどの対応が望まれる。
公式リンク(中国語)https://www.miit.gov.cn/zwgk/zcwj/wjfb/zh/art/2021/art_0ee692709b76445e9237eb2ba908c5bb.html
本レポートはクララが発行する「中国法令アラート 2021 年 8月号」の内容を一部抜粋、編集したものです。「中国法令アラート」では、最新の法令・制度変更に関する詳細および予想される日系企業への影響、実務で得た動向変化に関する情報等を毎月 PDF でお届けしています。
