中国サイバーセキュリティ法とは?遵守する上でのポイントを解説
帝国データバンクの「特別企画:日本企業の「中国進出」動向調査(2022年)」によると、中国に進出している日本企業は、1万2,706社となっています。中国に関連するビジネスをしている企業は、それより多いといえるでしょう。中国では、2017年に「中国サイバーセキュリティ法」が施行されました。
これにより、中国でビジネス展開するためには、法律に則した規定の改定や技術的な保護措置を行わなければならなくなりました。しかし、どのような法律なのかわからない方や対応方法が分からない方もいるのではないでしょうか。
そこで本記事では、中国サイバーセキュリティ法の概要や規制対象、取るべき対策などを解説します。中国でビジネス展開している・今後進出を考えている方は、ぜひ参考にしてください。
この記事の目次
中国サイバーセキュリティ法の概要
中国サイバーセキュリティ法(网络安全法)とは、2017年6月に施行された中国の法律です。法律の目的は、第1条にて以下のように記載されています。
- ネットワークの安全を保障する
- サイバー空間の主権、国の安全、公共の利益を守る
- 国民、法人その他の団体の正当な権利利益を保護する
- 経済・社会の情報化の発展を促進する
ネットワークとは、「コンピュータ・その他の情報端末および関連設備により構成され、一定のルールやプログラムに従って情報を収集、保存、伝送、交換、処理するもの(第76条)」とされており、インターネットだけではなく、イントラネットも対象となります。
中国サイバーセキュリティ法は、EU一般データ保護規則(GDPR)や日本の個人情報保護法とは異なり、「個人や組織情報の保護」だけでなく、「中国国家の安全や公共の利益の保護」をも目的にしている点が特徴です。法律では、対象となる事業者に対し、サイバーセキュリティ等級保護の実施やコンプライアンスの遵守、権利義務の明確化などを定めています。
セキュリティに関しての法律には、他にも中国データセキュリティ法があります。
関連記事:中国データセキュリティ法とは?日本企業が取るべき対策を解説
中国サイバーセキュリティ法の規制対象
日本の企業が中国サイバーセキュリティ法の対象となるのは、以下の場合が挙げられます。
- 中国内で情報の取り扱いがある
- 中国から日本へ情報を移転する
拠点が日本であっても、上記に当てはまる場合は法律の対象となります。また、規制対象者には、「ネットワーク運営者」「重要情報インフラ施設の運営者」などが挙げられます。
ネットワーク運営者とは、ネットワークの所有・管理者、ネットワークサービスを提供する者のことです。
重要情報インフラ施設の運営者とは、損害を受けた場合に、国家の安全を脅かす可能性のある分野(エネルギーや運輸、金融、公共サービスなど)で、破損やデータ漏洩などにより国家安全保障、国民生活、公共の利益を著しく損なう可能性のある設備を運営する者を指します。
中国サイバーセキュリティ法の内容
中国サイバーセキュリティ法では、以下のような義務を定めています。
- サイバーセキュリティの等級設置
- 国の強制的標準への適合
- 実名登録が求められる
- 重要情報インフラ施設運営者に対する義務
- 管理・レスポンス体制の構築
ここでは、それぞれの詳細を解説します。
サイバーセキュリティの等級設置
中国サイバーセキュリティ法の第21条にて、ネットワーク運営者が順守すべき「等級保護制度」を定めており、中国国内でネットワークを所有する企業や組織は、等級保護認証の取得が必要になります。
等級保護制度とは、ネットワークセキュリティ管理体制に対する公的な評価制度です。対象となる範囲は、以下が挙げられます。
- ネットワークインフラ
- IoT
- 産業用制御システム
- 大規模なインターネットサイト・データセンター
- 公共サービスプラットフォーム
等級保護制度では、情報システムが損壊したときの影響範囲や損害規模によって、以下の5つの等級に分類されています。
| 客体が受ける損害の程度 | |||
| 一般的な損害 | 深刻な損害 | 特に深刻な損害 | |
| 国民および法人など | 第1級 | 第2級 | 第3級 |
| 社会秩序・公共の利益 | 第2級 | 第3級 | 第4級 |
| 国家の安全 | 第3級 | 第4級 | 第5級 |
また、等級ごとの定義は、以下の通りです。
| 等級 | 定義 |
| 第1級 | 破壊された場合に、関係する公民、法人、その他組織の合法的な権利・利権が損なわれるが、国家の安全や社会秩序、公共の利益には影響のない一般ネットワーク |
| 第2級 | 破壊された場合に、関係する公民や法人、その他組織の合法的な権利・利益に重大な損害が生じる。または、社会秩序と公共の利益に危害がもたらされるが、国家の安全に影響のない一般ネットワーク |
| 第3級 | 破壊された場合に、関係する公民、法人、その他組織の合法的な権利・利権に非常に重大な損害をもたらす。または、国家の安全に危害が生じる重要ネットワーク |
| 第4級 | 破壊された場合に、社会秩序・公共の利益を著しく損なう。または、国家安全に非常に重要な損害をもたらす特に重要なネットワーク |
| 第5級 | 破壊された場合に、国家の安全に非常に重大な損害をもたらす極めて重要なネットワーク |
この分類ごとに、遵守すべき情報セキュリティの基準を定めています。ネットワーク運営者は第2級以上、重要情報インフラ運営者は第3級以上の等級が適用されるのが一般的です。
等級取得のため、当局に等級の自主申請をしますが、最終的には公安部からの合意を得る必要があります。また、等級保護制度では、第2級以上は評価機関による評価を受けなければならないとされています。等級保護制度に違反すると罰金が適用される恐れがあるため注意が必要です。
国の強制的標準への適合
インターネット製品およびサービスの提供者が提供するサービスは、国の強制的標準に準拠しなければならないとされています(第22条)。提供者は、悪意のあるプログラムを設置してはなりません。
また、製品やサービスに欠陥や脆弱性、その他のリスクがあることを発見した場合には、直ちに措置を講じ、ユーザーに告知・関係管轄当局に報告しなければならないとされています。
2021年9月には、ネットワーク運営者を対象とした「インターネット製品セキュリティ脆弱性管理規定(网络产品安全漏洞管理规定)」が施行されているので、この規定も参照し、対応する必要があるといえるでしょう。
実名登録が求められる
ネットワーク接続サービス、固定電話・携帯電話のネットワーク接続手続き、情報共有サービス、インスタントメッセージサービスなどをユーザーに提供する場合には、ユーザーの実名登録をしなければならないとされています。ユーザーが実名登録をしない場合は、サービスを提供してはなりません。
また、ネットワーク運営者は、ユーザーが発信する情報が法律を犯していないかを審議する義務もあります。
重要情報インフラ施設運営者に対する義務
重要情報インフラ施設の運営者は、ネットワーク運営者に課されたセキュリティ対策を行うだけでなく、以下のような対策も必要になるとされています。
- システムやデータベースの定期的なバックアップを取る
- セキュリティインシデントへの対応計画の策定
- 年度安全評価
- データローカライゼーション
データローカライゼーション:データが生成された国の国境内でデータを保存・処理するプロセスのこと
2021年9月に施行された「重要情報インフラ施設安全保護条例」では、重要情報インフラ施設の管理、認定、運営者の義務などをさらに具体的に定めているため、こちらも参照する必要があります。
管理・レスポンス体制の構築
ネットワーク運営者に求められているものには、以下が挙げられます(第21条)。
- 安全管理制度や操作規程の制定
- ネットワークの安全責任者の確定
- セキュリティインシデントに対応するレスポンス計画の立案・技術的措置の整備
- ネットワークの監視技術の導入、ログの保存(少なくとも6ヵ月)
- データ分類、重要データのバックアップ・暗号化などの保護措置
サイバーセキュリティ法に違反した場合の規定
等級保護制度で求められるセキュリティ要件に違反した場合、是正命令と警告が出されます。命令を拒否、もしくはネットワークの安全を脅かした場合には、1万元以上10万元以下の罰金を支払わなければなりません。また、直接の責任者には、5千元以上5万元以下の罰金が課されます。
また、悪意のあるプログラムを設置した場合や製品やサービスの欠陥やセキュリティホールなどのリスクに対して措置を講じない場合などにも是正命令と警告が出され、それを拒否した場合は罰金の支払いが発生します。
違反の内容によって罰金の金額は異なり、ウェブサイトの閉鎖や営業許可の抹消、開業業務の停止などを命じられる恐れもあるため注意が必要です。過去には、違反により罰金処罰、担当者に対しては、終身同業への従事を禁止されたケースもあるため、サイバーセキュリティへの対策は欠かせないといえるでしょう。
日本企業が取るべきサイバーセキュリティ法対策
中国サイバーセキュリティ法は複雑なため、何から手をつけていいかわからない方もいるでしょう。ここでは、日本企業が取るべき対策を解説します。
情報システム部門やDX関連部門との連携する体制を整える
中国サイバーセキュリティ法に対応するためには、運用プロセスの構築や個人情報管理規定の策定・追加などを行う必要があります。また、等級保護制度に対応するため、自社のシステムに対して技術的な措置が欠かせません。
法務や総務部門などが個々に対応するのではなく、情報システム部門やDX関連部門とも連携する体制を整える必要があるでしょう。
自社が保有する各システムがどの等級に合致するかを判定する
まず、自社システムの等級判定をします。その等級に合わせ、各部門でサイバーセキュリティに則った対応をする必要があります。法務や総務、リスク管理部門では、法に対応する規定や運用の見直しや改定、情報システム・DX関連部門では、技術面での対応が必要になります。ここでは、それぞれの対応について、解説します。
法務や総務、リスク管理部門
等級に定められている事項と自社の管理状況、情報セキュリティ体制を比較し、規定の追加や運用体制の見直しをします。そして、どのように対応するかを検討し、制度の整備や改正などを行う必要があるでしょう。
等級が第2級以上の場合は、当局への届け出も行わなければなりません。自社が重要情報インフラ施設運営者であるとみなされる場合には、第3級以上の等級保護認証取得が求められます。また、データローカライゼーション規制への対応、従業員への定期的な情報セキュリティの教育・技術トレーニングなどを行わなければならないなど、対応すべき事項が多くなります。重要情報インフラ施設運営者に該当する可能性がある場合は、顧問弁護士などと相談し、対応方針を定めておくと安心です。
近年、中国ではセキュリティ関連の制度が続々と施行されています。そのため、リスク管理部門では、新しい規制に合わせたリスク対応が必要になるでしょう。
情報システム・DX関連部門
情報システム部やDX関連部門では、等級に合わせたセキュリティ保護措置のシステム導入を行う必要があります。まずは、自社の既存システムのセキュリティ保護措置を整理し、不足している場合は、サイバーセキュリティ法に即したシステムを組み込みます。
サイバーセキュリティ法以外にも、データローカライゼーション規制や越境制限、ガバメントアクセスなどにも対応しなければなりません。中国国外へどのようなデータを転送しているのかを把握し、自社のデータ取得や保管の状況を見直す必要があります。
サイバーセキュリティ法では、規定の改定だけに留まらず、技術的な保護措置を行わなければならないため、対応部署の連携が欠かせないといえるでしょう。
まとめ:自社の対応でお困りの際は、専門家にご相談を
中国サイバーセキュリティ法とは、中国国家の安全保障のためにつくられた制度です。サイバーセキュリティ法に対応するためには、法務部や総務部による規定の改定だけでなく、技術的な保護措置などを行う必要があります。
サイバーセキュリティ法が施行されて以降、「インターネット製品セキュリティ脆弱性管理規定」や「サイバーセキュリティ審査弁法(国家安全審査制度を具体化する制度)」など、データコンプライアンスに関する法律が続々と制定されています。違反すると罰金やウェブサイトの閉鎖、営業許可の抹消などの行政処分を受ける恐れがあるため注意が必要です。中国で事業展開をしている・今後予定している場合は、中国の法律に詳しい弁護士へ相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT・インターネット・ビジネスに強みを持つ法律事務所です。中国やアメリカ、EU諸国など世界各国の案件に対応してきました。海外でビジネス展開する場合には、多くの法的リスクが伴うため、経験豊富な弁護士によるサポートが欠かせません。当事務所は、現地の法律や規制に精通しており、世界各国の法律事務所と連携しています。
モノリス法律事務所の取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
