世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

【PR】中国サイバーセキュリティ法対応  ‐ 説明準備 できていますか? ‐

  • 2020年 9月 13日

ふいに予期しない状況に陥った時、貴社はどのように対応しますか?例えば、中国現地法人からあなたに「『中国サイバーセキュリティ(CS)法の遵守状況を確認するために貴社を訪問する』との連絡が公安からあったが、どうすれば良いですか?」という問い合わせの電話があったら、どうしますか?
どのように対応すべきか的確に指示できますでしょうか。それとも…

パターン1

“いやいや、そんないきなり公安がくることはないよ”、と思っても、公安に突然訪問を通告される事案は実際に発生しています。
中華人民共和国公安省令(公安机关互联网安全监督检查规定)では、公安機関におけるインターネットセキュリティの監督と検査に関する規定が定められています。規定は5章29条からなる短い内容ですが、「中国サイバーセキュリティ法」とも絡めて、確認事項や罰則は多岐にわたります。
その規定では、公安に対して、以下の対応が認められています。

  •  第13条 : 公安機関が現場もしくは遠隔による、インターネットセキュリティの監督および検査
  •  第15条1項 : 事業所、コンピューター室、職場への入館
  •  第15条2項 : 監督・検査対象の担当者またはセキュリティ管理者に説明を求める
  •  第15条3項 : インターネットセキュリティ監査・検査に関する情報の参照やコピー
  •  第15条4項 : ネットワークおよび情報セキュリティ保護のための技術的対策の動作確認

代表的な項目を取り上げましたが、前述のとおり、実際に公安から連絡があり、立ち入り監査を受けた中国所在の企業は何社もあり、その多くは電話連絡から1週間以内に訪問するという内容でした。

 パターン2

実際のところ、中国拠点は営業拠点として稼働しており、情報セキュリティ、ネットワーク構成、有事の際の対応は誰もわかっていないということが少なからずあります。
中国サイバーセキュリティ法アセスメントを実施させていただいた際に伺ったのは、

  • 中国拠点はIT担当者がおらず、実質的に日本側で管理している
  • 日本が管理しているシステムを中国でも利用している
  • アジアのIT担当統括者はシンガポールにおり、中国では把握していない
  • ネットワーク構築や契約回りは中国進出時に日本担当者が実施
  • セキュリティポリシー等は、日本側で作成した内容を中国語に翻訳しているのみ
  • 数年前までは日本側でも把握していたが、それ以降は中国側に任せており、把握していない

などといった実情です。中国国内の業務内容の調査やセキュリティ対応はあと回しになっており、だれも把握していないという状況に直面することも多々あります。もし、中国現地法人で対応ができない場合、助けを求める先が日本本社の法務やITの担当者になることも、十分に考えられます。

パターン3

”中国サイバーセキュリティ法に関連した法令・ガイドラインにはまだ意見募集稿のものも多くあり、まだ対応しなくていいのではないか?”というご意見を耳にすることもあります。
確かに、中国サイバーセキュリティ法関連法令・ガイドラインについては、意見募集稿の内容がまだ多く存在します。
しかし、2017年6月に中国サイバーセキュリティ法が施行されて以降、意見募集稿をへて施行される法令・ガイドラインが日に日に増えてきています。グローバルなプライバシー保護の動きにあわせて、関連国家標準の公布、プライバシーに関する規定を含めた新民法の成立、などの立法措置が次々に実施されており、2020年7月にはデータセキュリティ法の草案も公表されました。
さらに、中国サイバーセキュリティ法に関連する執行事例も多く見受けられるようになり、2020年第1四半期では、それまでと比べて、指導・警告数が増加傾向にあります。

 結論

“中国サイバーセキュリティ法と施行済みの法令・規則をすべて理解して、すべての対策を実施しなければいけないのか?リソースが限られている中で、全部に対応するなんて無理だ。”と考えたくなるかもしれません。そこで、今からでも「説明責任を果たせるように」準備をしましょうというのがご提案です。「自社はこのような業務(情報処理)を実施しており、このような対策を実施していて、サイバーセキュリティ法の遵守に関しては、このように考えている。」という資料を準備するのです。いますぐ全てに対応する必要はありません。自社の情報処理業務を「説明」できる資料を準備し、中国現地法人がそれを用いて公安に説明できれば良いのです。

IIJでは、中国CS法対策コンサルティングサービスを実施している他、ビジネスリスクマネジメントポータルの会員様向けに「中国CS法対応テンプレート」、「中国CS法関連法規・ガイドライン一覧」などのコンテンツも販売しております。なにから手を付ければよいかわからない、中国語が読めない/話せない、中国現地訪問はコロナの影響で難しい、など、中国サイバーセキュリティ法への対応にお悩みをもお持ちのお客様は、是非お気軽にお問合せください。

執筆:新村 僚(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp

SNSで記事をシェア

関連するブログ

  • 2020年12月1日
【PR】日本企業のDPO(ドイツ編)<ドイツでは速度制限なし⁈、えっ、お酌がちゃんと…
  • 2020年9月24日
【PR】クッキーのみなし同意はダメ
  • 2020年9月1日
【PR】英国・ロンドンの欧州子会社で個人データの侵害が発生。さて、どうする!
  • 2020年7月2日
【PR】従業員の健康情報って大丈夫?コロナ禍で気になり始めたこと
  • 2020年8月5日
【PR】事例で考える 中小企業が「今からできる」プライバシー保護(1)「知らないうち…

関連記事

3月28日、シンガポール監督機関PDPCは、「デジタル環境における児童の個人情報の保護に関するアドバイザリー・ガイドライン」を公表した。本ガイドラインは、SNSなどのデジタル環境における児童の個人データとプライバシーの保護に注目した内容となっている。
  • 2024年 4月 9日
シンガポール 監督機関PDPC デジタル環境における児童個人データ保護に関するガイド…
韓国個人情報保護委員会(개인정보보호위원회)は、4月4日同国の個人情報保護法が同国外の事業者に適用される条件を明らかにする「海外事業者の個人情報保護法適用ガイド」を公開した
  • 2024年 4月 8日
韓国当局 PIPA域外適用ガイドラインを公表
国家情報セキュリティ標準化専門委員会(TC260)は、2024年3月1日に「生成型人工知能サービスのセキュリティ基本要求」を公表した。
  • 2024年 4月 1日
中国 生成型AIのセキュリティ基本要求文書を公表
全国サイバースペース情報公弁室(CAC)は、2024年3月22日、データ越境移転の促進及び規制に関する規定(促进和规范数据跨境流动规定、以下「本規定」)を公布した。本規定は、公布日から施行される
  • 2024年 3月 27日
中国 データ越境移転の促進及び規制に関する規定を公布(2024年3月22日施行)
  • 2024年 3月 27日
中国 データ越境移転安全評価申告ガイドライン及び個人情報越境移転標準契約届出ガイドラ…
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
マンガページトップ

アクセスランキング

1
2
3
4
5
無料eBook一覧

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。