中国データセキュリティ法とは?日本企業が取るべき対策を解説
中国データセキュリティ法は、中国のデータ分野における法律で、2021年9月に施行されました。中国国内で行われるすべてのデータ処理に適用されるため、中国で事業を展開する企業や今後進出を予定している企業は、現存の規定や管理方針の見直しや改定などが必要になります。しかし、どのような法律なのか理解できていない方や、実施すべき対策に悩む方もいるでしょう。
そこで本記事では、中国データセキュリティ法の概要や理解するポイント、罰則、日本での対策について解説します。
この記事の目次
中国データセキリュティ法とは?
中国データセキリュティ法(中华人民共和国数据安全法)とは、2021年9月に施行された、中国のデータセキュリティに関する法律です。2017年6月に施行された「中国サイバーセキュリティ法」と同じく、国家の安全を守るために制定されました。
中国サイバーセキュリティ法:中国の「ネットワーク」のセキュリティを保護するための法律
中国データセキュリティ法の目的は以下のように記載されています(第1条)。
- データ取扱活動の規制
- データセキュリティの確保
- データの開発と利用の促進
- 個人・組織の正当な権利と利益の確保
- 国家の主権、セキュリティおよび開発の利益を保護
中国サイバーセキュリティ法では電子データを規制対象としていましたが、中国データセキュリティ法では、電子だけでなく紙面など、非電子データをも規制対象としているのが特徴です(第3条)。中国データセキュリティ法では、データの分類やセキュリティ認証システムの整備、データセキュリティの保護義務などについて定められています。
中国データセキュリティ法を理解する上でのポイント
中国データセキュリティ法にはさまざまな規定があり、理解しきれない方も多いでしょう。ここでは、データセキュリティ法の内容について、以下5つのポイントを詳しく解説します。
- 規制対象
- データ分類・等級付け規範の制定について
- データのセキュリティ管理について
- データの移転の規制について
- 国家安全審査について
規制対象
法律で規制されるデータは中国国内で行われる「データ処理」すべてです。データ処理活動が中国国外で行われる場合も、中国国家の安全や公共の利益、公民・組織の利益に損害を与える場合には適用となります。
「データ」は、電子的その他の方法による情報の記録のことであり、紙面も含む点には注意が必要です。「データ処理」とは、データの収集や保存、使用、処理、送信、提供、開示などとされており、その行為を行う者は「データ処理者」となります。
データ分類・等級付け規範の制定について
データ処理者は、等級保護制度に基づいたデータセキュリティの確保を行わなければなりません。等級保護制度とは、ネットワークセキュリティ管理体制に対する公的な評価制度であり、等級により取るべき対応が異なります。また、データの破壊や漏洩などにより、国家の安全や公共の利益、個人や組織などに与える損害の大きさによりデータを分類しなければなりません。
分類は、「一般データ」「重要データ」「中核データ」の3つに区分されます。わけられます。「ネットワークデータ安全管理条例(意見募集稿)」では、重要データとは「改ざん、破壊、漏洩、不法な取得、不法な利用が生じた場合に、国家安全、公共利益に危害をもたらす可能性のあるデータ」と定義されています。中核データとは、国家の安全や国民経済のライフライン、重要な国民の生活、主要な公共の利益に関連するデータのことです(第21条)。
執筆時点では、重要データも中核データも具体的な目録が出ていないため、「ネットワークデータ安全管理条例(意見募集稿)」に記載されている重要なデータの例を参考に、取り扱っているデータを分類しておくとよいでしょう。併せて、管轄部門の公表する目録をモニタリングしていくことが重要です。
データのセキュリティ管理について
データ処理者の対応として求められるものには、以下のようなものがあります。
- データセキュリティ教育、訓練の実施
- 等級保護制度に基づくデータセキュリティの保護義務
- リスクモニタリングの継続的な実施
- データライフサイクル全体における安全管理制度の確立
- 責任者の設置
- 技術的措置
基本的に、「情報セキュリティマネジメントシステム(ISMS)」の要求内容と類似していますが、データの分類に応じた管理措置を講じなければならない点には注意が必要です。
インシデントが発生した場合は、直ちに措置を講じ、ユーザーならびに当局に報告しなければなりません。また、重要データを処理する場合には、リスク評価を定期的に実施し、リスク評価報告書を関連管轄部門に提出する必要性もあります。
データの移転の規制について
データの移転に関しては、重要データの場合に規制がかかります。重要情報インフラ施設の運営者が、中国国内での業務において取得・生成した重要データを越境する場合は、サイバーセキュリティ法の規定が適用されると記載されています。
重要情報インフラ施設:損害を受けた場合に、国家の安全を脅かす可能性のある分野(エネルギーや運輸、金融、公共サービスなど)で、破損やデータ漏洩などにより国家安全保障、国民生活、公共の利益を著しく損なう可能性のある設備を運営する者
重要情報インフラ施設の運営者に該当しないデータ処理者である場合は、「データ国外移転安全評価弁法」に従って、当局による安全評価の審査を受け、合格したうえで移転しなければなりません。
「ネットワークデータ安全管理条例(意見募集稿)」によると、重要データ以外を国外に移転する場合も、以下のような場合は当局の安全評価審査を受け、合格しなければならないとされています。
- 越境データに重要なデータが含まれる場合
- 重要情報インフラ施設の運営者、または100万人以上の個人情報を処理するデータ処理者が個人情報を国外に提供する場合
また、データを国外に移転する者の義務として、以下のようなものが挙げられています。
- ネットワーク情報部門に提出された個人情報保護影響評価報告書に記載された目的、範囲、方法、データの種類、サイズなどを超えて、個人情報を国外に提供しないこと
- ネットワーク情報部門のセキュリティ評価で指定された目的、範囲、データの種類、サイズなどを超えて、個人情報および重要データを海外に提供しないこと
- データのエクスポートに関するユーザーの苦情を受け入れ、処理すること
- 関連するログの記録およびデータ輸出承認記録を3年以上保管すること
- データのエクスポートが個人、組織、公共の利益の正当な権利と利益に損害を与える場合、データ処理者は法律に基づいて責任を負うこと
国外へデータを移転する場合には、データ輸出セキュリティ報告書を作成し、地区のネットワーク情報部門に報告する義務もあります。
国家安全審査について
中国政府により、データ処理活動が中国国家の安全を害すると判断された場合には、国家安全審査を行うとの記載がある点には注意が必要です。国家安全審査の結果は最終的な決定となるため、行政不服申し立て、訴訟などにより、意義を申し立てることはできません。
データセキュリティ法の罰則
データセキュリティ法に違反した場合は、是正命令と警告、罰金、是正のための事業停止、関連業務の停止、事業ライセンスの取り消しなどを科されるケースがあります。
例えば、中国データセキュリティ法第27・29・30条に規定された義務を履行しない場合、是正命令や警告が出される他、直接の責任者およびその他の直接責任者に対して5万元以上50万元以下の罰金が科される場合があると記載されています。
データセキュリティ法に違反した場合は、法人だけでなく、直接の責任者および、その他の直接責任を負う職員も罰則の対象となる点には注意が必要です。違反により罰則を受けた場合は、組織全体に大きな影響を及ぼしかねないため、法への対策を取っておく必要があるといえるでしょう。
日本企業が行うべきデータセキュリティ法対策
データセキュリティ法は、中国国内で扱われるすべてのデータ処理に対して適用されるため、対応しなければならない日本企業は多いといえるでしょう。ここでは、日本企業が行うデータセキュリティ法の対策を詳しく解説します。
データの管理
まずは、データ管理を見直していきます。自社内で、どのようなデータがどのように生成・蓄積・削除されているかなどをはっきりさせ、現状のデータ取り扱い状況を把握します。データ分類ごとに必要な対応が取れるよう、データマッピングにより、データの分類や中国国外への移転状況、現状のデータ管理措置などを事前に確認しておくことも重要です。
中国データセキュリティ法では、重要データ、中核データに対してそれぞれの保護措置が求められます。そのため、分類に沿った情報の機密区分を再定義する必要もあるでしょう。
ただし、現時点では分類別のセキュリティレベルは不明瞭な部分があります。今後、具体化される可能性があるため、中国の管轄部門の公表する目録をモニタリングすること欠かせません。同時に、アクセス制御や認証、通信セキュリティ、物理的対策など、分類を考慮したセキュリティレベルの設定を行っておくと安心です。
また、セキュリティポリシーの見直しを行い、データマッピングによって分類したデータ区分に沿ったポリシーを適用します。
リスク評価の実施・報告
データマッピングにより、自社の取り扱うデータに重要データが含まれていると判断された場合には、データ処理に対するリスク評価を行います。また、その結果を当局へ報告しなければなりません。
リスク評価は定期的に行わなければならないため、恒常的に実行できるようルール化しておくことが大切です。
従業員の教育
中国では、セキュリティ関連の制度が続々と施行されています。また、データの管理やリスク評価は、一度行ったら終わりではありません。そのため、定期的に見直しや改善をし、企業内で定着していけるよう、従業員の教育も必要になります。
法務や総務部だけでなく、リスク管理部門などもかかわってくるため、各部門で対応するのではなく、連携が重要になるでしょう。現時点では、まだ不明確な部分のある法ではありますが、違反により罰則が適用されたケースもあるため、データセキュリティ法への対応は不可欠だといえるでしょう。
中国サイバー三法の特徴
中国サイバー三法とは、中国が施行した「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」の総称です。サイバーセキュリティ法はサイバー攻撃対策、データセキュリティ法はデータの保全、個人情報保護法は個人情報のセキュリティ強化を目的にしています。
関連記事:中国サイバーセキュリティ法とは?遵守する上でのポイントを解説
このように、それぞれに違いがあるものの、いずれも違反に対して行政処罰や民事損害賠償、刑事責任を規定している点が特徴です。また、違反の対象は法人だけでなく、その直接責任者にも当てはまり、同じ業務に従事することが禁止されたり国の違反者情報に掲載されたりする恐れがあります。
まとめ:中国のデータ法規制には注視しながら迅速な対応を
中国データセキュリティ法とは、中国のデータ処理に適用される法律であり、データの分類や等級付け保護、リスク評価などについて規定されています。サイバーセキュリティ法をはじめ、「個人情報保護法」「インターネット製品セキュリティ脆弱性管理規定」など、さまざまな法律が公表されており、それに合わせた対応が欠かせません。
現時点で、分類別のセキュリティレベルは具体化されていないなど、不明瞭な部分はありながらも、違反により罰金を受けたケースもあるため、法への対応は欠かせないといえるでしょう。中国の法規制に注視しながら、今できる対応を取っていくことが大切です。
中国で事業展開をしている・今後予定している場合は、中国の法律に詳しい弁護士へ相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、グローバルビジネスはますます拡大しており、専門家によるリーガルチェックの必要性はますます増加しています。当事務所では中国やアメリカ、EU諸国などの国際法務に関するソリューション提供を行っております。
モノリス法律事務所の取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務