個人データを、ビジネスを守る、IIJ

【セミナー報告】オンラインセミナー 「中国サイバーセキュリティ法:日本企業へのリスク、最優先課題と現実的対策(入門編)」開催レポート


世界各国ではプライバシーを保護するため情報(データ)に関する規制が強まっています。しかし、中国での世界各国とは異なるデータに関する規制が存在しています。では、中国に進出する日本企業は、そのような規制に対して、どのような対応が求められているのでしょうか。IIJでは、2020年6月17日にIIJ第6回オンラインセミナー「中国サイバーセキュリティ法(以下「CS法」)日本企業へのリスク最優先課題と現実的対策(入門編)」を開催しました。セミナーの概要は以下のとおりです。

IIJでは、今後もこのようなセミナーを定期的に開催してまいります。是非、ご期待ください。

1.中国サイバーセキュリティ法(CS法)の主なポイント

CS法は2017年に施行された法律で、サイバー空間における主権や国家の安全を保障することが大きな目的です。日本企業であっても中国に存在すれば適用される、と考えてよいです。重要な情報インフラやデータ保護、情報セキュリティ統制、データローカライゼーションといった義務の遵守を求められることになります。CS法には関連するガイドラインが多数存在しますが、全てが定まっている訳ではありません。個人情報の取り扱い、サイバーセキュリティ等級保護制度、インターネット情報コンテンツ管理制度といったガイドラインは施行され始めており内容が固まってきていますが、重要情報インフラセキュリティ保護制度、データ越境転送関連制度、重要データ保護制度に関するガイドラインは施行されてないものが多いです。

2.日本企業に求められる対応トップ3

日本企業は大きく3つ、①組織カテゴリとカテゴリ毎の順守義務、②等級保護制度、③データ越境転送規制に対応する必要があります。

まず①組織カテゴリとカテゴリ毎の順守義務は、各組織を業種カテゴリに分け、カテゴリ毎に遵守すべき義務を定めています。皆さんは自分の企業がどのカテゴリに該当するのかを確認し、そのカテゴリの義務を順守するよう対応していく必要があります。

次に②等級保護制度は、セキュリティ事故発生時の国家安全、公共の利益、社会秩序に対する影響度合いで中国国内に保有するシステムを5等級に分類し、保護等級に応じた安全保護措置実施義務を求める制度です。システムが2等級以上の場合、申請書の作成を行い、作成した申請書をもとに、第3者機関・管理部門による評価を受けて、承認を得る必要があります。

さらに、③データ越境転送規制は、国境を越えてデータを移転する場合の規制ですが、中国国外にある基幹システムや中国国外のクラウドを中国国内から利用している場合、中国国内にあるシステムやクラウドを中国国外から利用する場合も規制の対象になります。

3.現地取締当局による摘発状況

CS法関連の摘発を行う主な機関には、工業情報化部(MIIT)、国家インターネット情報弁公室(CAC)、公安部(MPS)があります。摘発全ての事例が公表されていませんので、全体像はつかめませんが、摘発は着実に行われています。

4.日本企業に求められる対応

まずは、各拠点における対象事業や処理データを確認し、その内容を踏まえて、順守義務と現状のギャップ認識を実施することが何よりも重要です。その後、リスク評価や実行計画の立案(対策の優先順位付けなど)を行い、事業内容を鑑みて必要な認証の取得(等級保護認証、カテゴリ関連(重要情報インフラ等)、ウェブサイト関連(ICP、公安備案など))など、最低限の対策を実施してください。対策の実施後は、運用体制確立、定期監査体制の確立なども必要となります。

5.中国での法制度最新アップデート状況

昨年、個人情報保護法やデータセキュリティ法の2020年の立法計画が発表されています。今年5月の全人代で新しい民法が成立し、2021年1月1日から施行されますが、その民法にはプライバシーに関する規定は7条ほどしかなく、個人情報保護法やデータセキュリティ法の立法が別にあるのではないかと考えています。Cookie規制については、2020年3月発表の「情報セキュリティ技術 個人情報セキュリティ規範」に、Cookie規制を想起する記載が見られます。もっとも、中国国内では、まだcookie規制については盛り上がっていないように思います。

6.参考情報

BizRisサイトで中国に関係するニュースを随時無料でお知らせしています。また、中国CS法関連のホワイトペーパーもご用意しておりますので、是非ご活用ください。

関連情報

【オンラインセミナー公開中(全6回)】

6月から公開しておりましたプライバシー保護規制対応に関するオンラインセミナーですが、ご好評につき公開期間を延長いたします。第1~3回の録画セミナー(無料)および第4~6回のライブセミナー(有料)をご視聴希望の方は、上のリンクからお申込みください。