個人データを、ビジネスを守る、IIJ

【PR】Office365の全世界導入。中国でも問題なく使えるの?


中国の事業拠点で、日本テナントのOffice365を利用したいというご相談をよく受けます。はたしてこれは実現できるのでしょうか? Office365に限らず、全世界でシステムを共通化できるところは共通化するということは、コスト削減やプロセス共通化の観点で有効な手段です。しかし中国では様々な理由により、システムのグローバル統一が難しい場合があります。中国において海外のクラウドサービスや、日本本社のシステムを利用するはどのようなリスクがあり、どのような対応が求められるのでしょうか?

リスク1:(テクノロジー面)グレートファイアウォールによる通信制限

ご存知の通り中国国内では、Googleの検索機能やFacebook、Twitterなどのサービスは利用できません。これらのサービスへの通信は、中国政府の方針により、国家ぐるみのファイアウォール機能でブロックされてしまっているためです。このインターネット上の検閲システムは、万里の長城(The Great Wall)とファイアウォール(Firewall)をもじってグレートファイアウォール(Great Firewall中国語:防火長城)と呼ばれています。

このグレートファイアウォールの主な目的は、中国国内のインターネット産業を守るためとも、中国政府の不利益になる言論を取り締まるためといわれています。ただ少しやっかいなのは、この通信遮断は何の予告もなく行われるケースが多いことです。つまり使えていたインターネットサービスやシステムがある日突然使えなくなってしまう可能性があるのです。このグレートファイアウォールによる通信制限を回避するにはVPNを使う方法もあります。しかし中国政府はこのVPNの利用に際してライセンス制を導入しており、規制や監視は厳しくなる傾向にあります。Office365のようなクラウド型のシステムを利用する場合も、グレートファイアウォールによる通信遮断を気にしながら運用することになります。

リスク2:(法律面)データ越境転送規制

一方で、法律面での制約もあります。中国では、サイバーセキュリティ法と呼ばれる法律でデータ越境転送規制(データの国外転送規制)が定められており、特定の要件を満たす場合1 、データは中国国内2保存、中国国内から中国国外へデータを送付する場合には、安全審査や当局への認証を行う事が求められています。

このデータ越境転送規制の目的は、サイバー空間における中国の主権や安全、社会公共の利益を守る事などが目的とされています。この越境転送規制に違反した場合には、是正命令、違法所得の没収、過料(企業だけでなく担当責任者にも)、関連業務の一時停止、営業停止、ウエブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消しを命じることができるとされています。

注意が必要なのは、このデータ越境転送規制は、ただ単に中国国内のデータを国外に持ち出す際だけでなく、データ自体は中国境外に物理的には移転されていなくても、中国国外の企業又は個人が閲覧・アクセス可能にする場合や3、海外のクラウドシステムを利用する際などにも適用されるとされており、留意が必要です。

 

事業者に求められる対応

では、中国では、Office365のような海外クラウドは利用できないのでしょうか?結論から言うと、一定の条件を満たせば実現可能となりますが、自社の場合に使えるのか、サイバーセキュリティ法に照らし合わせて調査を実施し、当局への摘発に備えた準備を実施しておく事が必要となります。

現実的には、Office365のうちメールの機能など、中国から利用できている海外クラウドも多数あります。法律面での対応も、必ずしもすべてのデータ越境転送を禁止しているわけではありません。テクノロジーや法制度のリスクを正しく理解することで、より現実的な対応を行う事が可能となります。以下に現実的にどのような対応を行うべきなのかの事例を記載します。

短期的対応:現状を把握する

最初に実施するべきことは現状を把握する事です。具体的には以下のような例に記載するような事項を把握しておく必要があります。

例:
・中国の事業拠点はどのような事業を行っているか。(重要情報インフラ運営者4に該当する可能性があるか?)
・中国の事業拠点でどのようなシステムを保有、利用しているか?
・中国の事業拠点ではどのようなデータ通信を行っているか?
(例:中国→日本への受注データの転送)
・中国国外にどのようなデータを転送しているか?(例:個人情報、重要データなど)
・中国の事業拠点で利用している基幹システムのうち、重要なシステムで中国国外に設置してあるシステムはあるか?

特に中国国外にあるシステムが重要な業務を担っている場合(例:日本に設置したOffice365やERP(SAPなど)を中国でも利用している場合など)は、越境転送規制の摘発時の事業への影響が大きくなるため、正確に状況を把握しておく事が望ましいと言えます。

中期的対応:越境転送安全評価(法律面での対応)

仮に中国国外へのデータ越境転送を行っている事が判明した場合は、データ越境転送に関しての安全評価(自己組織内での評価書、計画書などを準備)を行っておく必要があります。

データ越境転送に関する法制度は、一部ガイドラインが未整備の状況であり、詳細が固まっていないものもあります。データ越境転送規制に関しての関連ガイドラインでは、条件によっては所轄官庁による安全評価や、当局への報告義務を定めており、安全評価の方法は少し複雑です。ただし、当局の立ち入りなどがあった場合にも、このような越境転送に関する自己評価を行い、データの越境転送管理を行っていることを示せれば、摘発のリスクは減らすことができます。

中長期的対応:システム対策(システムの中国国内への移設の検討)

中長期的には、システム面での対応も検討する必要があります。具体的には、データや基幹システムの中国国内への移設や、中国国外のクラウドを中国国内のクラウドに切り替えるなどの対応です。この対応により、データの中国国外への越境転送運用をなくすことができれば、グレートファイアウォールによる突然の通信遮断にも備えることができ、データ越境転送規制リスクは大幅に減らすことができます。ただ、この対策は有効ではありますが、時間もコストもかかるのが実情です。多くの企業では、まずは越境転送安全評価まで実施しておくのがひとつのゴールとなるかと言えます。

外に対し提供する必要がある場合には安全評価を実施することを求めています。これは、必ずしもすべてのデータ越境転送を禁止しているわけではありません。グレートファイアウォール対応や、システムの中国国内への移設などは、まじめに全て対応しようとすると、大変な時間とコストが必要となります。実際に小規模拠点でのシステムで中国国内に個別にシステムを構築するのにはコストに見合わず中国国外のクラウドを利用せざるを得ない場合も多々あるかと思います。

中国国外のOffice365など、中国国外のクラウド利用などは、はじめからあきらめるのではなく、グレートファイアウォールや、データ越境転送規制の正しい理解に基づき、適切に対処すれば、当局からの摘発リスクを減らしつつ、実現可能な落としどころを探すことが可能となります。

IIJの中国サイバーセキュリティ法対策ソリューション

さて、IIJでは、中国におけるデータ越境転送などに関するお悩みに対して「中国CS法対策コンサルティングサービス」を実施している他、ビジネスリスクマネジメントポータルの有料会員様向けに「中国CS法対応テンプレート」「中国CS法関連法規・ガイドライン一覧」などのコンテンツも販売しています。何から手を付けてればよいかわからない、そもそも中国CS法の適用対象なのかチェックしたい、データ越境転送への対応法がわからない、などのお悩みをお持ちのお客様は、是非お気軽にお問い合わせください。

中国サイバーセキュリティ法 簡易アセスメントキットに含まれるコンテンツ(例)

(1)概要とソリューション紹介

中国サイバーセキュリティ法に関する概要と、ソリューション紹介

(2)初期アセスメントシート

順守すべき義務、現状とのギャップ認識などを簡易チェックすることを目指したテンプレート

(3)関連法規・ガイドライン解説書

(4)関連法規・ガイドライン一覧

関連法規とガイドラインなどの一覧(法令、ガイドライン名称(日本語/中国語)、施行日、発行元、参照先URL など)

1 サイバーセキュリティ法では、重要情報インフラ運営者が中華人民共和国境内の運営において収集及び発生した個人情報及び重要データは、中華人民共和国境内で保存しなければならないとしています。ただし、意見募集稿の関連ガイドラインでは、対象の事業者をネットワーク運営者に拡大する動きも見られ、今後の動向には留意が必要となります。

2 正確には香港、マカオ、台湾を除く中国本土内(中国境内)(以降も同様)。

3 意見募集稿の関連ガイドラインでは公開情報、ウエブサイトのアクセスを除くとされている。

4 公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要な産業及び分野、並びにひとたび機能の破壊、喪失又はデータの漏洩に遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得る情報インフラ。(サイバーセキュリティ法31条)

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

31ヵ国・地域、クッキー規制も調査対象の世界各国のプライバシー保護規制の概要一覧

IIJでは2019年4月1日公開の初版、2020年3月31日公開の更新版に続き、日本企業からお問合せの多い①31ヵ国・地域(今回新たに12ヵ国を追加)、②17調査項目(クッキー規制を含める)を対象に、西村あさひ法律事務所様の協力も得て、この度「世界各国のプライバシー保護規制の概要一覧(グローバル・オーバービュー)」の更新版(2020年9月29日時点)を作成しました。

【中国CS法関連コンテンツ】

関連記事