自動車データセキュリティ管理若干規定(試行)

2021年8月20日、国家インターネット情報弁公室は「自動車データセキュリティ管理若干規定(試行)」を公布した。2021年10月1日より施行されている。

自動運転技術ではもちろんのこと、すでに多くの車で採用されている各種運転支援機能においても、カメラや各種センサーが膨大な量のデータを収集している。本規定はサイバーセキュリティ法の下位法令として初めて、自動車にまつわるデータに特化したセキュリティ管理について定めており、中国に進出する日系自動車関連企業のほぼ全てが適用対象に該当すると考えられる。

本稿では、規定の重要なポイントを整理し、最後に日系企業への影響についてまとめている。

 

対象と定義

中国国内での自動車データ処理活動の実施およびそのセキュリティ監督を対象とする。(2条)

本規定でいう「自動車データ」には、自動車の設計、製造、販売、使用、保守の過程における個人情報を含むデータと重要なデータが含まれる。(3条1項)

本規定でいう「自動車データの処理」には、自動車データの収集、保存、使用、加工、送信、提供および開示が含まれる。(3条2項)

 本規定でいう「自動車データ処理者」とは、自動車メーカー、部品・ソフトウェアサプライヤー、ディーラー、メンテナンス会社、配車サービス・カーシェアリング会社などの自動車データ処理活動を行う組織を指す。(3条3項)

本規定でいう「個人情報」とは、電子的またはその他の方法で記録された、特定または識別可能な自動車の所有者、運転者、同乗者、車外の人などに関するあらゆる種類の情報を指すが、匿名化処理後の情報は含まれない。(3条4項)

本規定でいう「センシティブな個人情報」とは、いったん漏洩または不正に使用されると、自動車の所有者、運転者、同乗者、車外の人などへの差別、個人や財産の安全に重大な危害を及ぼす可能性がある個人情報を指し、これには自動車の走行軌跡、音声、映像、画像、生体識別情報などの情報が含まれる。(3条5項)

本規定でいう「重要データ」とは、いったん改ざん、破壊、漏洩、不正アクセス、不正使用されると、国家の安全、公共の利益、または個人や組織の合法的権益に危害を及ぼす可能性があるデータを指し、これには次のデータが含まれる。(3条6項)

  • 軍事管理区域、国防科学工業単位、県レベル以上の党・政府機関等の重要かつセンシティブな区域の地理情報、歩行者通行量、車両交通量に関するデータ
  • 車両交通量、物流等の経済活動を反映したデータ
  • 自動車の充電ネットワークの稼働データ
  • 人物の顔、自動車ナンバープレート等を含む車外の映像、画像データ
  • 10万人分を超える個人情報
  • 国家インターネット情報部門および国務院の発展改革、工業情報化、公安、交通運輸等の関連部門が定めた国家の安全、公共の利益、個人や組織の合法的権益に危害を及ぼす可能性があるデータ

自動車データ処理者の義務

インターネットおよびその他の情報ネットワークを使用して自動車データ処理活動を行う場合は、ネットワークのセキュリティ等級保護等の制度を導入し、法に基づくセキュリティ義務を果たさなければならない。(5条)

自動車データ処理活動を行う際は、次の事項を順守する。(6条)

  • 車内処理の原則・・・本当に必要な場合を除き、車外に提供しない。
  • 非デフォルト収集の原則・・・運転者が自ら設定した場合を除き、毎回の運転時のデフォルト設定は「収集しない」とする。
  • 精度適用の原則・・・提供される機能が必要とするデータの精度に応じてカメラやレーダー等のカバー範囲と解像度を決める。
  • 非機微化処理の原則・・・可能な限り匿名化および非識別化処理を行う。

個人情報を処理する際には、取扱説明書、車載ディスプレイ、音声、自動車の使用に関連するアプリ等の目立つ手段を用いて、次の情報を告知しなければならない。(7条)

  • 処理する個人情報の種類。これには車両の軌跡、運転習慣、音声、映像、画像、生体識別情報などが含まれる。
  • 各種の個人情報が収集される具体的な状況、収集を中止するための方法と手段
  • 各個人情報を処理する目的、用途、方法
  • 個人情報の保存場所と保存期限、または保存場所と保存期限を決定するルール
  • 自らの個人情報へのアクセスおよび複製、およびすでに車外に提供された個人情報の削除を依頼する方法と手順
  • ユーザーの権益に関する事項の連絡人の姓名および連絡方法
  • 法律、行政法規で定められたその他の告知しなければならない事項

センシティブな個人情報を処理する場合、次の要件または法律、行政法規、および強制性国家標準などの要求に準拠しなければならない。(9条)

  • 運転の安全性向上、運転支援、ナビゲーション等の直接個人に役立つことを目的とする。
  • 取扱説明書、車載ディスプレイ、音声、自動車の使用に関連するアプリ等を通じて、その必要性と個人への影響を目立つように告知する。
  • 本人の単独の同意を得なければならず、本人が自ら同意の期限を設定できる。
  • 運転の安全性を確保することを前提として、本人による収集の中止を便利に行うために適切な方法で収集状況を表示する。
  • 本人が削除を求めた場合、自動車データ処理者は10営業日以内に削除しなければならない。
  • 自動車データ処理者が、運転の安全性を高めるという目的と十分な必要性を有する場合、指紋、音声、顔、心拍数などの生体識別情報を収集できる。

重要データの処理活動を行う際には、リスク評価を行い、省・自治区・直轄市のインターネット情報部門および関連部門にリスク評価報告書を報告しなければならない。(11条)

自動車データ処理活動によってユーザーの正当な権益や公共の利益を損なった場合、法律に基づいて相応の責任を負わなければならない。(17条)

データの越境移転に関する要件

重要データは法に基づき国内に保存し、業務上、中国域外へ提供する必要がある場合、セキュリティ評価に合格しなければならない。重要データに該当しない個人情報を含むデータの越境セキュリティ管理には、法律、行政法規の関連規定を適用する。(11条)

当局への報告義務

重要データの処理を行う場合、毎年12月15日までに省・自治区・直轄市のインターネット情報部門および関連部門に対し、次の内容を含む年次報告を行わなければならない。(13条)

  • 自動車データのセキュリティ管理責任者およびユーザーの権益に関する事項を取り扱う責任者の名前と連絡先
  • 処理する自動車データの種類、規模、目的、必要性
  • 保存場所と保存期限を含む自動車データのセキュリティ保護及び管理措置
  • 自動車データの国内の第三者への提供状況
  • 自動車データのセキュリティインシデントと対応状況
  • 自動車データに関連したユーザーからの苦情と対応状況
  • 国家インターネット情報部門が国務院工業情報化、公安、交通運輸などの関連部門と共に指定するその他の自動車データのセキュリティ管理状況

重要データの越境移転を行う場合、本規定13条で定める内容に加えて、次の情報を報告しなければならない。(14条)

  • データ受領者の基本情報
  • 越境移転した自動車データの種類、規模、目的、必要性
  • 自動車データの海外での保存場所、期限、範囲、方法
  • 自動車データの越境移転に伴うユーザーからの苦情と対応状況
  • 国家インターネット情報部門が国務院工業情報化、公安、交通運輸などの関連部門と共に指定するその他の報告が必要な状況

罰則

自動車データ処理者が本規定に違反した場合、省レベルのインターネット情報部門、工業情報化、公安、交通運輸等の関連部門が、サイバーセキュリティ法、データセキュリティ法等の法律、行政法規の規定に従って処分を行う。犯罪にあたるものは、法に従って刑事責任を追及する。(18条)

本規定に対する見解

2021年8月20日、国家インターネット情報弁公室は「自動車データセキュリティ管理若干規定(試行)」を公布した。2021年10月1日より施行されている。

本規定は2021年6月11日までパブリックコメントの募集が行われていたもので、締め切りからわずか2カ月余りでのスピード公布となった。ただし法律名に「試行」とあるように、実際の運用状況や新たに生じる課題を踏まえて、近い将来に改正を行うことが前提となっている。

意見募集稿と比べ、ほとんどの条文で修正が行われているが、基本的な方針に変わりはない。注目すべき変更点としては、適用対象から保険会社が外され、センシティブな個人情報や重要データの範囲が見直された。

また重要データの越境移転については、セキュリティ評価の項目に越境移転の必要性と海外での保存期限が新たに追加されたが、越境移転されたデータを抜き打ちチェックするという規定は丸ごと削除された。

本規定は自動車産業チェーンに関わる産業を広くカバーしており、中国に進出する日系自動車関連企業のほぼ全てが適用対象に該当すると考えられる。適用対象となる企業においては、本規定5条で定められたネットワークセキュリティ等級保護制度の導入が急務である。加えて、センシティブな個人情報を扱う企業では9条にある各種要件への対応、重要データを扱う企業ではリスク評価の実施、データの越境移転を行う企業ではセキュリティ評価の実施が必須となっている点に注意したい。

汽车数据安全管理若干规定(试行)(中国語) http://www.cac.gov.cn/2021-08/20/c_1631049984897667.htm


本レポートはクララオンラインが発行する「中国法令アラート 2021 年 9 月号」の内容を一部抜粋、編集したものです。「中国法令アラート」では、最新の法令・制度変更に関する詳細および予想される日系企業への影響、実務で得た動向変化に関する情報等を毎月 PDF でお届けしています。

クララオンライン コンサルティング事業部

クララオンライン コンサルティング事業部

中国ビジネスをワンストップでご支援するクララオンラインコンサルティング事業部