中国サイバーセキュリティ法
対策支援サービス

日系企業の中国サイバーセキュリティ法アセスメント・対策コンサルティングを提供します。

中国サイバーセキュリティ法対策支援サービス

中国サイバーセキュリティ法で実績多数 
日系企業のリスクなくし、ビジネスを守ります

クララは中国サイバーセキュリティ法の施行以来、様々なお客様の中国サイバーセキュリティ法アセスメントや対策コンサルティング実績を積み重ねてきました。データ越境移転や個人情報保護法、データセキュリティ法などの関連法規制から複雑なITインフラ周りまで漏れなく対応。ITに強い弊社だからできるCS法対策支援を実施致します。

100社を超える支援実績

中国サイバーセキュリティ法の施行当初から支援サービスを提供しており、アセスメント・対策コンサルティング含め支援会社数は累計100社を突破。様々な事例への対応実績がございます。

関連法令にも柔軟に対応

中国サイバーセキュリティ法に関わる中国の個人情報保護法、データセキュリティ法についても弊社のリーガルコンサルタントがカバー。お客様の不安点をすべてご相談いただけます。

業界別の各種アセスメント

管理体制、ITインフラ、Webサイト、オンラインサービス、IoTサービス等のアセスメント(評価)を実施し、中国サイバーセキュリティ法へのリスク状況を判定します。

なぜ重要?中国サイバーセキュリティ法対策

2017年6月に施行された「中国サイバーセキュリティ法 (Cybersecurity Law of the People’s Republic of China)」。中国国内におけるセキュリティ保護義務や個人情報の収集・生成・利用から、データの越境移転などについて定めたサイバー空間の安全性に関する基本法ですが、近年その重要性が高まっています。

1 対象となる企業が多い

本法の対象はIT企業だけでなく、メーカーや小売事業者まで、中国国内に拠点を持つ様々な業種・業態の企業が適用対象に含まれます。中国国内でインターネットやITサービスを運営、あるいは利用しているあらゆる企業が適用の対象となり、もちろん外資企業も対象に含まれるため、中国でビジネスを展開する上で本法への対策は避けて通れません。

2 関連法規が多く対応範囲が広範に渡る

中国サイバーセキュリティ法が施行されてから7年以上がたち、罰則の事例等も出てきている中で、新たに個人情報保護法やデータセキュリティ法など関連法規も整い、それらの把握と関係性の理解、対応も必要になってきています。しかし本法は関連規則のアップデートが早く、非常に重要性が高い法令でありながら日本語での解説や情報が見つけづらいのが実情です。

3 罰則が重く、違反時のリスクが大きい

サイバーセキュリティ法の違反が認められた場合には、違反に対する処罰だけでなく、処罰に伴う事業停止などによるビジネス機会の損失、社会的信用の棄損といったリスクがあります。 特に違反状況の改善が完了するまで業務停止を求められた場合、その間の収益が止まってしまうことが最も大きなリスクとなります。

また、処罰の対象は企業だけではなく、責任者個人にも過料が科せられます。そのため責任者自身が違反リスクを理解しておく必要があります。

4 法解釈の自社判断が非常に難しい

越境移転、等級保護、重要データなど弁護士でないと理解や判断が難しい内容も多いのはもちろんのこと、実際には法解釈によって定義が変わる情報もあることから中国当局や地域ごとの政府部門に確認が必要になることもあります。用意しなければならない書類、構築する必要がある体制、責任範囲など、弊社のような中国弁護士(律師)からのサポートがないと対応が難しいのが実情です。

5 ITインフラやネットワークへの理解も必要

法律の特性上、データを保管するサイバー領域やITインフラ・ネットワークに関する理解も必要になります。具体的にどういった場合に違反になるのか、中国の現地法人でのデータ管理体制がどういったものであれば問題ないのか、など法律面だけではなくITの仕組みを理解しその上で法令順守する必要があります。

6 知らずに法律に抵触していることが多い

そもそもリスクがあるのにも関わらず法律の内容が難しいために「いまだに対策ができていない」「対策したいけど何をしたらいいかわからない」「そもそも自社が中国CS法の適用対象になるのかもわからない」といった企業様が多数いらっしゃる状況です。中国での罰則事例も多数出てきている状況から非常に由々しき問題です。

オンラインでのご相談、30分無料。

中国サイバーセキュリティ法に関するご相談はお気軽にお寄せください。

中国サイバーセキュリティ法の適用範囲

中国サイバーセキュリティ法は、内資・外資を問わず、中国国内でインターネットを含むネットワークを利用したり、システムを運用・保守・使用しているあらゆる企業が適用対象となります。IT企業だけでなく、メーカーや小売事業者、企業の駐在事務所までも含まれます。その中でも、中国サイバーセキュリティ法では、「ネットワーク運営者」及び「重要情報インフラ運営者」の責務を中心に規定しています。

ネットワーク運営者

ネットワーク運営者とは「ネットワークの所有者、管理者及びネットワークサービスプロバイダ(76条3項)」と定義されており、広範な定義となっています。少々乱暴ではありますが、インターネットやインターネットを通じたサービスを利用・運用していたり、社内でイントラネットを使ったシステム等を利用している企業は全て「ネットワーク運営者に該当する」と考えてよいでしょう。

■ネットワーク運営者の例
  • インターネットプロバイダー
  • 電子商取引プラットフォームの運営企業
  • ウェブページを通じて対価なしに情報を伝達する等の非営利性のサービスを提供する企業
  • 企業グループ内のイントラネットを運用している企業
■ネットワーク運営者の責務
  • インターネット運営者の安全保護義務の履行(第21条)
  • インターネット実名制の実施(第24条)
  • インターネットの安全を脅かす事象に対する緊急対応策の制定(第25条)
  • 国の安全の維持のための捜査協力及び技術提供(第28条)

重要情報インフラ運営者

重要情報インフラ運営者とは、「公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要な産業及び分野、並びにひとたび機能の破壊、喪失又はデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラの運営者」と定義されています。これらの産業に従事する企業が該当すると考えられます。

■重要情報インフラ運営者の例
  • 生活インフラ:例)政府機関、エネルギー、金融、交通、水利、公共サービス等
  • ネットワーク・マスコミ:例)通信、ラジオ、テレビ、インターネット、クラウド、ビッグデータ等
  • 科学技術:例)国防科学技術、大型機器、化学、食品、医薬品等
■重要情報インフラ運営者の責務
  • 社内に専門の安全管理機構を設置し、安全管理責任者を確定
  • インターネットのセキュリティ業務上、重要職位にある専門技術者について、資格に基づく勤務制度を実施
  • 従業員に対し定期的にインターネットセキュリティ教育、技術訓練および技能テストを行い、重要システムおよびデータベースについてバックアップを作成

具体的な対象企業例

中国サイバーセキュリティ法の対象となる具体的な事例をご紹介します。

事例1:製造メーカー

中国現地に製造工場や販売会社を持ち、基幹系システムを日常的に運用している場合

利用している基幹系システムの例

  • 経理システム
  • 人事・給与システム
  • その他基幹系システム等

ネットワーク運営者に該当するため、中国サイバーセキュリティ法の対象

事例2:グローバル企業

個人情報を含むユーザー情報・取引情報を、国を超えて管理・やり取りしている場合

提供しているサービス等の例

  • 中国人向けインバウンドサービス
  • Webアプリサービス
  • 観光・調査サイト等

中国国内運営企業とみなされる可能性があるため、中国サイバーセキュリティ法の対象

事例3:インフラ関連企業

取引先が重要インフラ運営者で、インターネットで遠隔監視システムを提供・運営する場合

重要情報インフラ運営者取引先の例

  • エネルギー・通信・情報
  • 決済サービス
  • 流通サービス等

取引先が重要情報インフラ運営者に該当するため、システム提供者も同等の要求をされる可能性が高い

※上記はあくまで参考例で、中国法令の改定により変更される場合がございます。
※上記以外にも様々な適用例がございますので、「自社がサイバーセキュリティ法の適用対象かどうか」についてお気軽にご相談ください。

中国データ関連法案の罰則例

罰金は企業だけでなく、責任者個人に対しても課せられます。
業務停止命令が下った場合、事業自体が停止するため、罰金以上に大きな損失に繋がる可能性があります。

法令違反行為関係主管部門からの是正命令、警告組織(企業)に対する罰金
直接責任を負う主管者 および その他の直接責任者への罰金
関連業務の一時停止、営業停止・整理、関連業務許可証の取消 または 営業許可証の取消
「データセキュリティ法」第45条データ処理活動を展開する組織・個人がデータ安全保護義務を履行しなかった場合
5万~50万元1万~10万元
「データセキュリティ法」第45条
是正を拒否するか、大量データ漏洩等の重大な結果をもたらした場合50万~200万元5万~20万元
「サイバーセキュリティ法」第59条ネットワーク運営者が、本法第21条(等級保護制度)および第25条(サイバーセキュリティアクシデントの緊急対応)に規定するネットワークセキュリティ保護義務を履行しなかった場合
「サイバーセキュリティ法」第59条是正を拒否したか、ネットワークの安全を脅かす等の結果をもたらした場合1万~10万元0.5万~5万元
「個人情報保護法」第66条本法の規定に違反して個人情報を取り扱ったか、個人情報の取扱いにあたって本法の規定する個人情報保護義務を履行しなかった場合
違法所得の没収
「個人情報保護法」第66条是正を拒否した場合~100万元1万~10万元
「個人情報保護法」第66条前項に定める違法行為が存在し、情状が重かった場合違法所得の没収 および 5,000万人民元以下 または 前年度の売上高の5%以下の制裁金10万~100万元
「データの越境流動の促進と規範規定」第12条データ越境活動が高リスクであることが判明したか、データセキュリティインシデントが発生した場合

「データの越境流動の促進と規範規定」第12条是正を拒否したか、重大な結果を引き起こした場合法に基づいて法的責任を追及するものとする

※1元=約21.7円(2024年5月現在)

オンラインでのご相談、30分無料。

中国サイバーセキュリティ法に関するご相談はお気軽にお寄せください。

共通点

  • 申請できるのは中国現地法人のみ。
  • コンテンツの内容(ゲーム・教育など)によっては、さらに複数の経営許可が必要になることがあります。
  • また、企業の所在地によって、公安局(警察)への届け出が義務付けられる場合があります。

※ICP登録(さらにコンテンツによりICPライセンス)の申請が完了しないままWebサイトを開設すると、閉鎖指示を受けることがあります。
※外資企業・合弁企業のICPライセンスの申請は、一部の業種を除き現状では認められていません。
※中国では複数の規制官庁がWebサイトを管理しており、サービス内容によっては他にも複数の許可を取る必要があります。

クララのサービス

法規制アドバイザリー&対策コンサルティング

  • 中国サイバーセキュリティ法に関わる社内潜在リスクの洗い出し、法対策支援を実施します。
  • 中国弁護士(律師)資格の所有者及び中国での実務経験豊富なコンサルタントが法規制面に加えて徹底的なリスク調査を実施します。
  • 調査結果及び関連法令についてご質問がある場合には適宜対応・ご説明いたします。

クララは法規制のアセスメントから対策コンサルティングまでワンストップで実施いたします。

クララによる
中国サイバーセキュリティ法対策支援の特徴

1 中国弁護士資格を持つリーガルコンサルタントが対応

専門知識を持つ経験豊富な中国弁護士(律師)がお客様の中国サイバーセキュリティ法アセスメントを実施。お客様の疑問・質問に丁寧にお答えしながら、リスクの洗い出しから評価の実施、対策作業を実施します。

2 「法令・当局・事例」の三重チェック体制

クララでは中国法規制へのアドバイザリー・アセスメントを実施する際に「一般的な原則・法令のリーガルチェック」に加え、「お客様拠点所在地の当局へのヒアリング」「一般的な他社事例のチェック」の三重のチェックを実施することで、お客様の法令順守を万全にしています。

3 IoT・サーバ・ネットワーク系に強い

日本・中国でのサーバ・ホスティングおよびITインフラを提供していることからITシステム周りの情報の流れについてはもちろん、最新のIoTサービスにおける中国サイバーセキュリティ法評価・分析での実績等もあることから、デジタライズされた事業・業態においても安心してご依頼いただくことができます。

4 中国現地とのスムーズなやり取りをご支援

中国サイバーセキュリティ法対策では特に中国現地法人との連携やヒアリング、ルール・体制づくりや実際の管理運用が必要になってきます。お客様自身で中国法人との調整が難しい場合でも、日中バイリンガルの弊社社員が対応可能。多数の実績と経験に基づくノウハウをもとに、中国現地とのやり取りも円滑にサポートします。

5 アセスメントから対策実施までワンストップで対応

中国サイバーセキュリティ法のアセスメントから対策実施、申請や当局への届け出など、対策に必要な業務をワンストップで支援します。「そもそも何が必要かわからない」「状況把握から手伝ってほしい」といったご要望にもお応えできますので、安心してお任せいただけます。

6 個人情報保護法やデータセキュリティ法など最新・関連法案にも対応

クララは中国サイバーセキュリティ法に関連の深い中国個人情報保護法やデータセキュリティ法といった最近施行されたばかりの法律も常に把握。必要に応じて追加のアセスメントや対策実施も行います。

こんな方におすすめです

  • 自社が中国サイバーセキュリティ法する必要があるかがわからない
  • 中国サイバーセキュリティ法についてアセスメントの必要性を感じている
  • サイバーセキュリティ法に対応したいが中国現地法人とのやり取りが大変
  • 複数システムがあってどれを対応させるべきかわからない
  • 日本語・中国語でのスムーズな対応をお願いしたい

サービス概要

アセスメント(評価・分析)コンサルティング(改善実行)
料金要お見積もり
※詳細についてはお問い合わせください
要お見積もり
※詳細についてはお問い合わせください
期間概ね2か月程度
※お客様の状況とアセスメント内容によります
2か月~
※お客様の状況とコンサルティング内容によります
業務概要・固有リスクの洗い出し・特定
・各リスクへの対応成熟度の診断
・改善案の策定
・管理体制の改善
・体制構築・マニュアル化
・運用・モニタリング
業務例・アセスメント範囲の明確化
・適法性のチェック
・適切なスキームの考案
・中国弁護士による対策検討・アドバイス
・関連法規制の明確化
・インフラ/技術面からのアドバイス
 …e.t.c.
・アセスメント結果に基づく不足点に対し改善実施
・現地社員への中国語での法規制及び対応方法説明
・運用状況・実施状況の確認
・等級保護の申請支援
・等級保護の取得に向けたアセスメント
・管理体制のコンサルティング
・申請に関するアドバイス
 …e.t.c.
アウトプット・報告形式:書面及び口頭によるご報告
・納品物:『アセスメント結果』に関する報告書※1
・報告書言語:日本語又は中国語
・納品形式:紙面及び電子データ(PDFファイル)
・契約形態:業務委託契約
※1:納品物のタイトル及び内容は、プロジェクトの進行状況に従って双方協議のうえで調整いたします。
・社内規定
・運用マニュアル
・越境移転評価シート
・サーベイ結果シート
・改善研修等
※運用を前提とした制度設計と実行型支援を行います。中国と日本に精通した中国弁護士・コンサルタントの在籍や弊社現地法人との連携により、現地キーパーソーン、最新の情報収集ルートの確保なども加味した運用設計・運用時のフォローが可能です。

※上記金額に、別途消費税等相当額を加算させていただきます。

ICP登録・ICPライセンスに関するFAQ

A. ICP登録に関しては、基本的に中国現地企業があれば内資外資問わず登録可能です。ICPライセンスに関しては、外資企業・合弁企業のICPライセンスの申請は一部の業種を除き現状では認められていません。

A. 可能です。クララではICP登録・ICPライセンス取得はもちろん、中国(CN)ドメイン、中国国内サーバのご提供や、必要なお手続き・契約をまとめてご提供することが可能です。
お支払につきましても、日本円・中国元どちらでも対応可能ですのでお気軽にご相談ください。

A. クララで提供する「Clara Cloud CN-LGプラン」のほか、Alibaba CloudおよびAWS・Azureといった各パブリッククラウドの中国リージョンのご提供が可能です。詳しくはお問合せください。

A. 日本サイトのドメインが日本のレジストラで取得したものであれば、そのままで使うことはできません。
中国国内でWebサイトを公開する場合、ICP登録を行うことが義務付けられています。ICP登録を行う場合、登録用のドメインが中国のレジストラで取得したドメインである必要があります。日本サイトのドメインが日本のレジストラで取得したものであれば、そのままの使用することができず、改めて取得し直す必要があります。

A. 中国国内でのECサイト開設には、ICP登録に加えて原則ICPライセンスの取得が必要です。
中国現地法人がないなどの理由でICP登録・ICPライセンスの取得が難しい場合は、弊社サービスである「極速中国」のご利用をご検討ください。
ICP登録・ICPライセンス取得不要で、日中間通信の改善により日本国内にサーバを置いたままで中国国内向けにシームレスなWeb環境の構築が可能となります。越境EC、中国拠点でのグループウェア利用、中国ユーザー向けアプリケーション等で利用が可能です。お気軽にご相談ください。

A. 中国はコンテンツサービスに対する規制が厳しく、複数の許可が求められるケースがあります。
事前にお客様の要望をヒアリングした上で、最適なご提案をさせていただきます。

A. 香港・マカオは中華人民共和国の「特別行政区」 として、高度な自治が認められており、『インターネット情報サービス管理弁法』を含む多くの中国法規制の適用範囲外になります。そのため、ICP登録の申告は不要です。
また、香港から中国大陸へのインターネットアクセスが比較的にスムーズであり、現地法人がないなどの理由でICP登録が難しい場合、香港を中継地として選択されるケースがあり、クララでもそういった支援実績がございます。ただし、香港・マカオは中国の一部であり、将来的に中国当局の統治下に入る可能性は否定できないため、留意する必要はあります。

A. 中国でオンラインゲームを配信する場合、複数の経営許可を取得する必要があります。しかし、これらの経営許可は事実上外国企業に開放されていないため、外国企業が運営主体のまま配信することは非常にハードルが高いです。
そのため、多くの日本企業は代わりに経営許可を有する中国企業パートナーに配信を依頼することが現実的です。この場合、当該ゲームの配信許可を得るために、当該ゲームの中国におけるソフトウェア著作権を中国パートナー企業へ移転する場合が多いです。クララではこういったライセンス周りのご支援やパートナー企業の選定などの実績もございますので、ぜひご相談ください。

A. 中国現地法人がない場合、ICP登録及びICPライセンスの取得はできません。中国国内企業をフロントとして申請するか、中国現地企業との合併することで申請が可能になります。

A. 中国現地法人がないなどの理由でICP登録・ICPライセンスの取得が難しい場合は、弊社サービスである「極速中国」のご利用をご検討ください。
ICP登録・ICPライセンス取得不要で、日中間通信の改善により日本国内にサーバを置いたままで中国国内向けにシームレスなWeb環境の構築が可能となります。越境EC、中国拠点でのグループウェア利用、中国ユーザー向けアプリケーション等で利用が可能です。お気軽にご相談ください。

A. 中国向けECサービスには複数の形態が考えられます。
■越境EC:日本側にサイトを置いたまま、注文が入る度にEMSなどで送付するサービスです。この場合は中国法に適用されないため、特に経営ライセンスは必要としません。
■自社ECサービス:自社商品のみ販売する場合なら、ICP登録のみ必要です。
■ECモール:ECプラットフォームサービスを運用される場合、商用のICPライセンスが必要です。

A. ICP登録はWebサイトを開設するための登録制度です。Webサイト単位で登録を行います。
ICPライセンスは、企業がインターネットを通じて経営性(営利性)の目的のコンテンツの配信を行う際に必要となる経営許可証です。

A. ICP登録(さらにコンテンツによりICPライセンス)の申請が完了しないまま中国国内でWebサイトを開設すると、閉鎖指示を受けることがあります。
また、場合によっては処罰を受けることもあります。

A. 中国国内で営利性のインターネットサービスを展開しているにも関わらずICPライセンスを取得していない場合、インターネットサービスの停止命令だけに留まらず、所得の没収あるいは所得に対して3~5倍の罰金が科される可能性があります。

A. ICP登録の取得支援は15万円~です。ICPライセンスの取得支援につきましては、ライセンスを取得する法人格の状況によって費用が変動するため、別途お見積りとなります。

A. ICP登録取得の流れは (1)ヒアリング⇒ (2)弊社からの提案⇒ (3)お申し込み⇒ (4)必要書類等の用意⇒ (5)ICP登録申請⇒ (6)ICP登録完了 となります。
ICPライセンスの取得につきましては、お客様の状況をヒアリングした上で個別にご提案いたします。

A. ICP登録を申請するために Web サイトが稼働している必要はありませんが、申請を提出する前に、ホスティングサーバとドメインを用意する必要があります。詳しくはご相談ください。

※その他ご不明点ございましたら、お気軽にご相談ください。

ご支援開始までの流れ

01.お問い合わせ

まずはお気軽にお問い合わせください。

02.ヒアリング

オンラインでの打ち合わせのお時間を頂き、リーガルコンサルタントによるヒアリングを行います。必要に応じ、この段階でNDAを結んだうえで資料をご提供いただく場合もございます。

03.ご提案

目的に応じた調査・分析プランと詳細なお見積りをご提示します。

04.お申し込み

調査内容やお見積りをご確認頂いた後、ご納得の上で
お申し込みいただきます。

05.ご支援開始

必要な資料のご案内、取得・登録までのロードマップを提示の上、ご支援を開始します。

課題の整理からお手伝いします

オンラインでの無料相談

中国事業や中国事業展開に関するお悩みやお困りごと、解決したい課題についてオンラインでの無料相談を承っております。課題の整理からお手伝い可能ですので、ぜひお気軽にご利用ください。