中国サイバーセキュリティ法の概要

 2016117日の全国人民代表大会にて中華人民共和国網絡安全法(中国サイバーセキュリティ法)が可決され、同法は201761日から施行されています。今回は同法について解説します。
(デロイト トウシュ トーマツ香港事務所 竹内裕一)

中国サイバーセキュリティ法とは

図表:中国サイバーセキュリティ法の構成
デロイトトーマツ発行の企業リスクVol.55のデロイト トーマツ サイバーセキュリティ先端研究所の記事より抜粋

 中国サイバーセキュリティ法の構成は図表のように全7章79条から構成され、同法の目的はその第一条に、サイバー空間における主権、国家の安全および社会の公的利益を維持するとともに、市民・法人・その他の組織の合法的権益を保護し、経済社会の健全な情報化を推進する、と定められています。

 中国サイバーセキュリティ法の施行により、中国はサイバー空間の取り締まりを法律に基づき実施できるようになった一方で、運用上はまだ不明瞭な点が残るため、より詳細を規定した実施細則の発行が待たれています。今号は中国サイバーセキュリティ法について、デロイト トウシュ トーマツ香港事務所がホームページに掲載しているInsightsを参考に、内容を簡潔にご紹介します。

中国サイバーセキュリティ法の特徴

 中国サイバーセキュリティ法は、情報ネットワーク運営者、情報ネットワーク製品およびサービスの提供者、サイバーセキュリティサービスの提供者のサイバーセキュリティに関する責任を包括的、体系的に定めています。またネットワーク・インフラストラクチャー、オペレーション、データ、情報に対しての基本的なセキュリティ・フレームワークを定めています。中国サイバーセキュリティ法についての、6つの特徴を以下に列挙します。

⒈サイバー空間の主権の明確化
⒉ネットワーク製品、サービスプロバイダーのセキュリティに関する責任を明確にすること
⒊ネットワーク運営者のネットワーク・セキュリティに対する責任を明確にすること
⒋個人情報の保護をさらに促進
⒌重要情報インフラのセキュリティのフレームワークの構築
⒍重要情報インフラによる重要データのクロスボーダー送信にかかるレギュレーションの設定

 以下では、中国サイバーセキュリティ法の遵守にあたって、企業の課題となる事項を三つご紹介したます。

重要情報インフラの定義が広く、セキュリティの要求が厳格

 中国サイバーセキュリティ法の対象者である情報ネットワーク運営者は、「情報ネットワークの所有者・管理者および情報ネットワークサービス提供者」とされ、通信事業者に限らず、多くの企業が情報ネットワーク運営者に該当すると解されます。

 また同法は、重要情報インフラ、セキュリティ・ガバナンス、従業員のセキュリティの専門性・認知度、データ分類、ITシステム、業務フロー、セキュリティー保護技術、危機管理に関して厳格な管理を要求しており、短期間でこれらすべての事項に対応することは容易ではないことが予想されています。

個人情報保護のフレームワーク

 中国サイバーセキュリティ法の第Ⅳ章では、個人情報について、データの取得から使用、保管、削除の一連の過程において要求事項、責任および義務を明確にしています。またネットワーク運営者には、包括的な個人情報保護のための体制の整備を要求されます。同法の施行にいたるまで、中国は個人情報の法規の整備の観点、個人情報管理の重要性の認知の点において向上の余地があったのが現実で、同法律の施行により各社の個人情報への対応が急がれます。

重要情報インフラの重要データのクロスボーダー送信の制限

 中国サイバーセキュリティ法の第37条では、中国国内での事業活動において収集・生成した個人情報および重要情報の中国国内での保管を求めており、仮に、業務上の必要から海外にこれらの情報を移転する場合は、原則的に当局によるセキュリティ評価を実施する必要があります。

おわりに

 上記の通り、情報ネットワーク運営者の定義が広いため、中国所在の多くの日系企業が情報ネットワーク運営者に該当し、セキュリティ管理や個人情報保護、クロスボーダー送信の制限等の義務を負うと想定されます。

 日系企業は、同法施行の影響についてリスクアセスメントを実施し、適切な対応をとることがのぞまれます。

(このシリーズは月1回掲載します)

筆者紹介


竹内 裕一(たけうち ゆういち)
Deloitte Touche Tohmatsu香港事務所
リスクアドバイザリー部門
アソシエート・ダイレクター。日本国公認会計士の有資格者。日本、香港、インドでの会計事務所での勤務を経て、2014 3 月より現職。海外子会社の決算早期化、不正対応、内部監査支援やS O X 法への対応支援を専門として、香港、中国華南に進出する日系企業に対してサービスの提供を行う。
連絡先: yuitakeuchi@deloitte.com.hk
サイト:www.deloitte.com/cn
※本記事には私見が含まれており、筆者が勤務する会計事務所とは無関係です。

 

Share