中国サイバーセキュリティ法とは?遵守する上でのポイントを解説
帝国データバンクの「特別企画:日本企業の「中国進出」動向調査(2024年)」によると、中国に進出している日本企業は、1万3,034社となっています。中国に関連するビジネスをしている企業は、それより多いといえるでしょう。中国では、2017年に「中国サイバーセキュリティ法」が施行されました。
これにより、中国でビジネス展開するためには、新たな法律に則した規定の改定や技術的な保護措置を行わなければならなくなりました。しかし、この「中国サイバーセキュリティ法」がどのような法律なのかわからない方や、自社がとるべき対応がわからない方もいるのではないでしょうか。
そこで本記事では、中国サイバーセキュリティ法の概要や規制対象、取るべき対策などを解説します。中国でビジネス展開している・今後進出を考えている方は、ぜひ参考にしてください。
この記事の目次
中国サイバーセキュリティ法の概要
中国サイバーセキュリティ法(网络安全法)とは、2017年6月に施行された中国の法律です。法律の目的は、第1条にて以下のように記載されています。
- ネットワークの安全を保障する
- サイバー空間の主権、国の安全、公共の利益を守る
- 国民、法人その他の団体の正当な権利利益を保護する
- 経済・社会の情報化の発展を促進する
ネットワークとは、「コンピュータ・その他の情報端末および関連設備により構成され、一定のルールやプログラムに従って情報を収集、保存、伝送、交換、処理するもの(第76条)」とされており、インターネットだけではなく、イントラネット(企業内ネットワーク)も対象となります。
中国サイバーセキュリティ法は、EU一般データ保護規則(GDPR)や日本の個人情報保護法とは異なり、「個人や組織情報の保護」だけでなく、「中国国家の安全や公共の利益の保護」をも目的にしている点が特徴です。法律では、対象となる事業者に対し、サイバーセキュリティ等級保護の実施やコンプライアンスの遵守、権利義務の明確化などを定めています。
セキュリティに関しての法律には、他にも中国データセキュリティ法があります。「中国サイバーセキュリティ法」については、以下の記事にて詳しく解説しています。
関連記事:中国データセキュリティ法とは?日本企業が取るべき対策を解説
中国サイバーセキュリティ法の規制対象
日本の企業が中国サイバーセキュリティ法の対象となるのは、以下の場合が挙げられます。
- 中国内で情報の取り扱いがある
- 中国から日本へ情報を移転する
拠点が日本であっても、上記に当てはまる場合は中国サイバーセキュリティ法の対象となります。また、規制対象者には、「ネットワーク運営者」「重要情報インフラ施設の運営者」などが挙げられます。
ネットワーク運営者とは、ネットワークの所有・管理者、ネットワークサービスを提供する者のことです。
重要情報インフラ施設の運営者とは、損害を受けた場合に、国家の安全を脅かす可能性のある分野(エネルギーや運輸、金融、公共サービスなど)で、破損やデータ漏洩などにより国家安全保障、国民生活、公共の利益を著しく損なう可能性のある設備を運営する者を指します。
中国サイバーセキュリティ法の内容
中国サイバーセキュリティ法では、以下のような義務を定めています。
- サイバーセキュリティの等級設置
- 国の強制的標準への適合
- 実名登録が求められる
- 重要情報インフラ施設運営者に対する義務
- 管理・レスポンス体制の構築
ここでは、それぞれの詳細を解説します。
サイバーセキュリティの等級設置
中国サイバーセキュリティ法の第21条にて、ネットワーク運営者が順守すべき「等級保護制度」を定めており、中国国内でネットワークを所有する企業や組織は、等級保護認証の取得が必要になります。
等級保護制度とは、ネットワークセキュリティ管理体制に対する公的な評価制度です。対象となる範囲は、以下が挙げられます。
- ネットワークインフラ
- IoT
- 産業用制御システム
- 大規模なインターネットサイト・データセンター
- 公共サービスプラットフォーム
等級保護制度では、情報システムが損壊したときの影響範囲や損害規模によって、以下の5つの等級に分類されています。
| 客体が受ける損害の程度 | |||
| 一般的な損害 | 深刻な損害 | 特に深刻な損害 | |
| 国民および法人など | 第1級 | 第2級 | 第3級 |
| 社会秩序・公共の利益 | 第2級 | 第3級 | 第4級 |
| 国家の安全 | 第3級 | 第4級 | 第5級 |
また、等級ごとの定義は、以下の通りです。
| 等級 | 定義 |
| 第1級 | 破壊された場合に、関係する公民、法人、その他組織の合法的な権利・利権が損なわれるが、国家の安全や社会秩序、公共の利益には影響のない一般ネットワーク |
| 第2級 | 破壊された場合に、関係する公民や法人、その他組織の合法的な権利・利益に重大な損害が生じる。または、社会秩序と公共の利益に危害がもたらされるが、国家の安全に影響のない一般ネットワーク |
| 第3級 | 破壊された場合に、関係する公民、法人、その他組織の合法的な権利・利権に非常に重大な損害をもたらす。または、国家の安全に危害が生じる重要ネットワーク |
| 第4級 | 破壊された場合に、社会秩序・公共の利益を著しく損なう。または、国家安全に非常に重要な損害をもたらす特に重要なネットワーク |
| 第5級 | 破壊された場合に、国家の安全に非常に重大な損害をもたらす極めて重要なネットワーク |
この分類ごとに、遵守すべき情報セキュリティの基準を定めています。ネットワーク運営者は第2級以上、重要情報インフラ運営者は第3級以上の等級が適用されるのが一般的です。
等級取得のため、当局に等級の自主申請をしますが、最終的には公安部からの合意を得る必要があります。また、等級保護制度では、第2級以上は評価機関による評価を受けなければならないとされています。等級保護制度に違反すると罰金が適用される恐れがあるため注意が必要です。
国の強制的標準への適合
インターネット製品およびサービスの提供者が提供するサービスは、国の強制的標準に準拠しなければならないとされています(第22条)。提供者は、悪意のあるプログラムを設置してはなりません。
また、製品やサービスに欠陥や脆弱性、その他のリスクがあることを発見した場合には、直ちに措置を講じ、ユーザーに告知・関係管轄当局に報告しなければならないとされています。
2021年9月には、ネットワーク運営者を対象とした「インターネット製品セキュリティ脆弱性管理規定(网络产品安全漏洞管理规定)」が施行されているので、この規定も参照し、対応する必要があるといえるでしょう。
実名登録が求められる
ネットワーク接続サービス、固定電話・携帯電話のネットワーク接続手続き、情報共有サービス、インスタントメッセージサービスなどをユーザーに提供する場合には、ユーザーの実名登録をしなければならないとされています。ユーザーが実名登録をしない場合は、サービスを提供してはなりません。
また、ネットワーク運営者は、ユーザーが発信する情報が法律を犯していないかを審議する義務もあります。
重要情報インフラ施設運営者に対する義務
重要情報インフラ施設の運営者は、ネットワーク運営者に課されたセキュリティ対策を行うだけでなく、以下のような対策も必要になるとされています。
- システムやデータベースの定期的なバックアップを取る
- セキュリティインシデントへの対応計画の策定
- 年度安全評価
- データローカライゼーション
データローカライゼーション:データが生成された国の国境内でデータを保存・処理するプロセスのこと
2021年9月に施行された「重要情報インフラ施設安全保護条例」では、重要情報インフラ施設の管理、認定、運営者の義務などをさらに具体的に定めているため、こちらも参照する必要があります。
管理・レスポンス体制の構築
ネットワーク運営者に求められているものには、以下が挙げられます(第21条)。
- 安全管理制度や操作規程の制定
- ネットワークの安全責任者の確定
- セキュリティインシデントに対応するレスポンス計画の立案・技術的措置の整備
- ネットワークの監視技術の導入、ログの保存(少なくとも6ヵ月)
- データ分類、重要データのバックアップ・暗号化などの保護措置
サイバーセキュリティ法に違反した場合の規定
等級保護制度で求められるセキュリティ要件に違反した場合、是正命令と警告が出されます。命令を拒否、もしくはネットワークの安全を脅かした場合には、1万元以上10万元以下の罰金を支払わなければなりません。また、直接の責任者には、5千元以上5万元以下の罰金が課されます。
また、悪意のあるプログラムを設置した場合や製品やサービスの欠陥やセキュリティホールなどのリスクに対して措置を講じない場合などにも是正命令と警告が出され、それを拒否した場合は罰金の支払いが発生します。
違反の内容によって罰金の金額は異なり、ウェブサイトの閉鎖や営業許可の抹消、開業業務の停止などを命じられる恐れもあるため注意が必要です。過去には、違反により罰金処罰、担当者に対しては、終身にわたり同業への従事を禁止されたケースもあるため、サイバーセキュリティへの対策は欠かせないといえるでしょう。
日本企業が取るべきサイバーセキュリティ法対策
中国サイバーセキュリティ法は複雑なため、何から手をつけていいかわからない方もいるでしょう。ここでは、日本企業が取るべき対策を解説します。
情報システム部門やDX関連部門との連携する体制を整える
中国サイバーセキュリティ法に対応するためには、運用プロセスの構築や個人情報管理規定の策定・追加などを行う必要があります。また、等級保護制度に対応するため、自社のシステムに対して技術的な措置が欠かせません。
法務や総務部門などが個々に対応するのではなく、情報システム部門やDX関連部門とも連携する体制を整える必要があるでしょう。
自社が保有する各システムがどの等級に合致するかを判定する
まず、自社システムの等級判定をします。その等級に合わせ、各部門でサイバーセキュリティに則った対応をする必要があります。法務や総務、リスク管理部門では、法に対応する規定や運用の見直しや改定、情報システム・DX関連部門では、技術面での対応が必要になります。ここでは、それぞれの対応について、解説します。
法務や総務、リスク管理部門
等級に定められている事項と自社の管理状況、情報セキュリティ体制を比較し、規定の追加や運用体制の見直しをします。そして、どのように対応するかを検討し、制度の整備や改正などを行う必要があるでしょう。
等級が第2級以上の場合は、当局への届け出も行わなければなりません。自社が重要情報インフラ施設運営者であるとみなされる場合には、第3級以上の等級保護認証取得が求められます。また、データローカライゼーション規制への対応、従業員への定期的な情報セキュリティの教育・技術トレーニングなどを行わなければならないなど、対応すべき事項が多くなります。重要情報インフラ施設運営者に該当する可能性がある場合は、顧問弁護士などと相談し、対応方針を定めておくと安心です。
近年、中国ではセキュリティ関連の制度が続々と施行されています。そのため、リスク管理部門では、新しい規制に合わせたリスク対応が必要になるでしょう。
情報システム・DX関連部門
情報システム部やDX関連部門では、等級に合わせたセキュリティ保護措置のシステム導入を行う必要があります。まずは、自社の既存システムのセキュリティ保護措置を整理し、不足している場合は、サイバーセキュリティ法に即したシステムを組み込みます。
サイバーセキュリティ法以外にも、データローカライゼーション規制や越境制限、ガバメントアクセスなどにも対応しなければなりません。中国国外へどのようなデータを転送しているのかを把握し、自社のデータ取得や保管の状況を見直す必要があります。
サイバーセキュリティ法では、規定の改定だけに留まらず、技術的な保護措置を行わなければならないため、対応部署の連携が欠かせないといえるでしょう。
中国サイバーセキュリティ法とデータの越境移転規制の緩和(2024年3月)
中国でビジネスを展開する日本企業にとって、データの越境移転規制は長年の懸案事項でした。2017年のサイバーセキュリティ法施行以降、厳格な規制により多くの企業が対応に苦慮してきましたが、2024年3月に大きな転換点を迎えました。
中国政府は経済活性化と外資誘致の観点から規制緩和に踏み切り、企業の負担を大幅に軽減する新たな規定を導入しました。一方で、全てのケースで規制が緩和されたわけではありません。国家安全や重要インフラに関わる分野では依然として厳格な規制が維持されています。ここでは、規制緩和の概要と、緩和が適用されないケースについて詳しく解説します。
中国サイバーセキュリティ法における関連法令の概要
中国は2017年にサイバーセキュリティ法を施行し、データ越境移転に厳格な規制を設けていました。重要データは安全評価が必須で、個人情報も安全評価・認証取得・標準契約のいずれかが必要でした。
2024年3月22日、国家インターネット情報弁公室は「データ越境流動の促進と規範に関する規定」を公布・施行し、規制を大幅緩和しています。経済成長と外資誘致を目的とした措置です。
新規定の主な緩和内容は以下の通りです。
- 国際貿易、越境配送、学術協力等で収集されたデータで、個人情報・重要データを含まない場合は域外移転の前提条件免除
- 法令に基づく労働管理のための従業員個人情報の域外提供が免除(グローバル企業の負担軽減)
- 一般企業の年間10万人未満の個人情報域外提供は前提条件免除
- 重要データの判断基準明確化(関連部門から明確に指定されていなければ安全評価不要)
これにより、中国でビジネスを行う企業のデータ越境移転に関する負担が大幅に軽減されました。
中国サイバーセキュリティ法において規制緩和が適用されないケース
新規定による緩和措置にも関わらず、重要データの域外移転については依然として当局による安全評価が必要とされています。また、年間累計100万人以上の個人情報や1万人以上の機微な個人情報を域外提供する場合も、従来通り安全評価が求められます。
年間累計10万人以上100万人未満の個人情報や年間1万人未満の機微な個人情報を域外提供する場合は、個人情報越境標準契約の締結・届出または個人情報保護認証の取得が必要です。
重要情報インフラ運営者については、新規定の緩和措置の適用範囲が限定的です。電力、通信、金融、交通等の重要インフラ事業者は引き続き厳格な安全評価が適用されます。
規制緩和が適用される場合でも、以下の義務は継続されます。
- 個人への事前告知と個別同意の取得
- 個人情報保護影響評価の実施
- データセキュリティ対策の実施
- 適切な記録管理と保存 など
中国サイバーセキュリティ法の規制体系においては、国家安全や重要インフラに関わる分野では従来の厳格な規制が維持されています。企業は自社の事業特性とデータの性質を慎重に評価した上で適切な対応を取らなければなりません。
まとめ:中国サイバーセキュリティ法対応は専門家にご相談を
中国サイバーセキュリティ法とは、中国の国家安全保障のためにつくられた制度です。サイバーセキュリティ法に対応するためには、法務部や総務部による規定の改定だけでなく、技術的な保護措置などを行う必要があります。
サイバーセキュリティ法が施行されて以降、「インターネット製品セキュリティ脆弱性管理規定」や「サイバーセキュリティ審査弁法(国家安全審査制度を具体化する制度)」など、データコンプライアンスに関する法律が続々と制定されています。違反すると罰金やウェブサイトの閉鎖、営業許可の抹消などの行政処分を受ける恐れがあるため注意が必要です。中国で事業展開をしている・今後予定している場合は、中国の法律に詳しい弁護士へ相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT・インターネット・ビジネスに強みを持つ法律事務所です。中国やアメリカ、EU諸国など世界各国の案件に対応してきました。海外でビジネス展開する場合には、多くの法的リスクが伴うため、経験豊富な弁護士によるサポートが欠かせません。当事務所は、現地の法律や規制に精通しており、世界各国の法律事務所と連携しています。
モノリス法律事務所の取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
