100社を超える支援実績
中国サイバーセキュリティ法の施行当初から支援サービスを提供しており、アセスメント・対策コンサルティング含め支援会社数は累計100社を突破。様々な事例への対応実績がございます。
中国サイバーセキュリティ法
中国サイバーセキュリティ法で実績多数
日系企業のリスクなくし、ビジネスを守ります
関連法令にも柔軟に対応
中国サイバーセキュリティ法に関わる中国の個人情報保護法、データセキュリティ法についても弊社のリーガルコンサルタントがカバー。お客様の不安点をすべてご相談いただけます。
業界別の各種アセスメント
管理体制、ITインフラ、Webサイト、オンラインサービス、IoTサービス等のアセスメント(評価)を実施し、中国サイバーセキュリティ法へのリスク状況を判定します。
なぜ重要?中国サイバーセキュリティ法対策
「中国サイバーセキュリティ法 (Cybersecurity Law of the People’s Republic of China)」は、中国国内におけるセキュリティ保護義務や個人情報の収集・生成・利用から、データの越境移転などについて定めたサイバー空間の安全性に関する基本法ですが、近年その重要性が高まっています。
1対象となる企業が多い
本法の対象はIT企業だけでなく、メーカーや小売事業者まで、中国国内に拠点を持つ様々な業種・業態の企業が適用対象に含まれます。中国国内でインターネットやITサービスを運営、あるいは利用しているあらゆる企業が適用の対象となり、もちろん外資企業も対象に含まれるため、中国でビジネスを展開する上で本法への対策は避けて通れません。
2関連法規が多く対応範囲が広範に渡る
中国サイバーセキュリティ法が施行されてから7年以上がたち、罰則の事例等も出てきている中で、新たに個人情報保護法やデータセキュリティ法など関連法規も整い、それらの把握と関係性の理解、対応も必要になってきています。しかし本法は関連規則のアップデートが早く、非常に重要性が高い法令でありながら日本語での解説や情報が見つけづらいのが実情です。
3罰則が重く、違反時のリスクが大きい
サイバーセキュリティ法の違反が認められた場合には、違反に対する処罰だけでなく、処罰に伴う事業停止などによるビジネス機会の損失、社会的信用の棄損といったリスクがあります。 特に違反状況の改善が完了するまで業務停止を求められた場合、その間の収益が止まってしまうことが最も大きなリスクとなります。
また、処罰の対象は企業だけではなく、責任者個人にも過料が科せられます。そのため責任者自身が違反リスクを理解しておく必要があります。
4 法解釈の自社判断が非常に難しい
越境移転、等級保護、重要データなど弁護士でないと理解や判断が難しい内容も多いのはもちろんのこと、実際には法解釈によって定義が変わる情報もあることから中国当局や地域ごとの政府部門に確認が必要になることもあります。用意しなければならない書類、構築する必要がある体制、責任範囲など、弊社のような中国弁護士(律師)からのサポートがないと対応が難しいのが実情です。
5 ITインフラやネットワークへの理解も必要
法律の特性上、データを保管するサイバー領域やITインフラ・ネットワークに関する理解も必要になります。具体的にどういった場合に違反になるのか、中国の現地法人でのデータ管理体制がどういったものであれば問題ないのか、など法律面だけではなくITの仕組みを理解しその上で法令順守する必要があります。
6 知らずに法律に抵触していることが多い
そもそもリスクがあるのにも関わらず法律の内容が難しいために「いまだに対策ができていない」「対策したいけど何をしたらいいかわからない」「そもそも自社が中国CS法の適用対象になるのかもわからない」といった企業様が多数いらっしゃる状況です。中国での罰則事例も多数出てきている状況から非常に由々しき問題です。
中国サイバーセキュリティ法の適用範囲
中国サイバーセキュリティ法は、内資・外資を問わず、中国国内でインターネットを含むネットワークを利用したり、システムを運用・保守・使用しているあらゆる企業が適用対象となります。IT企業だけでなく、メーカーや小売事業者、企業の駐在事務所までも含まれます。その中でも、中国サイバーセキュリティ法では、「ネットワーク運営者」及び「重要情報インフラ運営者」の責務を中心に規定しています。
| ■ネットワーク運営者の例 |
|---|
|
| ■ネットワーク運営者の責務 |
|---|
|
| ■重要情報インフラ運営者の例 |
|---|
|
| ■重要情報インフラ運営者の責務 |
|---|
|
具体的な対象企業例
事例1:製造メーカー
中国現地に製造工場や販売会社を持ち、基幹系システムを日常的に運用している場合
利用している基幹系システムの例
ネットワーク運営者に該当するため、中国サイバーセキュリティ法の対象。
事例2:グローバル企業
個人情報を含むユーザー情報・取引情報を、国を超えて管理・やり取りしている場合
提供しているサービス等の例
中国国内運営企業とみなされる可能性があるため、中国サイバーセキュリティ法の対象。
事例3:インフラ関連企業
取引先が重要インフラ運営者で、インターネットで遠隔監視システムを提供・運営する場合
重要情報インフラ運営者取引先の例
取引先が重要情報インフラ運営者に該当するため、システム提供者も同等の要求をされる可能性が高い。
※上記はあくまで参考例で、中国法令の改定により変更される場合がございます。
中国データ関連法案の罰則例
罰金は企業だけでなく、責任者個人に対しても課せられます。
業務停止命令が下った場合、事業自体が停止するため、罰金以上に大きな損失に繋がる可能性があります。
| 法令 | 違反行為 | 関係主管部門からの是正命令、警告 | 組織(企業)に対する罰金 | 直接責任を負う主管者 および その他の直接責任者への罰金 | 関連業務の一時停止、営業停止・整理、関連業務許可証の取消 または 営業許可証の取消 |
|---|---|---|---|---|---|
| 「データセキュリティ法」第45条 | データ処理活動を展開する組織・個人がデータ安全保護義務を履行しなかった場合 | 有 | 5万~50万元 | 1万~10万元 | – |
| 「データセキュリティ法」第45条 | 是正を拒否するか、大量データ漏洩等の重大な結果をもたらした場合 | – | 50万~200万元 | 5万~20万元 | 有 |
| 「サイバーセキュリティ法」第59条 | ネットワーク運営者が、本法第21条(等級保護制度)および第25条(サイバーセキュリティアクシデントの緊急対応)に規定するネットワークセキュリティ保護義務を履行しなかった場合 | 有 | – | – | – |
| 「サイバーセキュリティ法」第59条 | 是正を拒否したか、ネットワークの安全を脅かす等の結果をもたらした場合 | – | 1万~10万元 | 0.5万~5万元 | ₋ |
| 「個人情報保護法」第66条 | 本法の規定に違反して個人情報を取り扱ったか、個人情報の取扱いにあたって本法の規定する個人情報保護義務を履行しなかった場合 | 有 | 違法所得の没収 | – | 有 |
| 「個人情報保護法」第66条 | 是正を拒否した場合 | – | ~100万元 | 1万~10万元 | 有 |
| 「個人情報保護法」第66条 | 前項に定める違法行為が存在し、情状が重かった場合 | 有 | 違法所得の没収 および 5,000万人民元以下 または 前年度の売上高の5%以下の制裁金 | 10万~100万元 | 有 |
| 「データの越境流動の促進と規範規定」第12条 | データ越境活動が高リスクであることが判明したか、データセキュリティインシデントが発生した場合 | 有 | – | – | – |
| 「データの越境流動の促進と規範規定」第12条 | 是正を拒否したか、重大な結果を引き起こした場合 | 法に基づいて法的責任を追及するものとする | – | – | – |
※1元=約21.7円(2024年5月現在)
こんな方におすすめです
サービス概要
| アセスメント(評価・分析) | コンサルティング(改善実行) | |
|---|---|---|
| 料金 | 要お見積もり | 要お見積もり |
| 期間 | 概ね2か月程度 | 2か月~ |
| 業務概要 | ・固有リスクの洗い出し・特定 ・各リスクへの対応成熟度の診断 ・改善案の策定 | ・管理体制の改善 ・体制構築・マニュアル化 ・運用・モニタリング |
| 業務例 | ・アセスメント範囲の明確化 ・適法性のチェック ・適切なスキームの考案 ・中国弁護士による対策検討・アドバイス ・関連法規制の明確化 ・インフラ/技術面からのアドバイス | ・アセスメント結果に基づく不足点に対し改善実施 ・現地社員への中国語での法規制及び対応方法説明 ・運用状況・実施状況の確認 ・等級保護の申請支援 ・等級保護の取得に向けたアセスメント ・管理体制のコンサルティング ・申請に関するアドバイス |
| 納品物例 | ・報告形式:書面及び口頭によるご報告 ・納品物:『アセスメント結果』に関する報告書 ・報告書言語:日本語又は中国語 ・納品形式:紙面及び電子データ(PDFファイル) ・契約形態:業務委託契約 | ・社内規定 ・運用マニュアル ・越境移転評価シート ・サーベイ結果シート ・改善研修等 |