世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

【PR】中国サイバーセキュリティ法対応  ‐ 説明準備 できていますか? ‐

  • 2020年 9月 13日

ふいに予期しない状況に陥った時、貴社はどのように対応しますか?例えば、中国現地法人からあなたに「『中国サイバーセキュリティ(CS)法の遵守状況を確認するために貴社を訪問する』との連絡が公安からあったが、どうすれば良いですか?」という問い合わせの電話があったら、どうしますか?
どのように対応すべきか的確に指示できますでしょうか。それとも…

パターン1

“いやいや、そんないきなり公安がくることはないよ”、と思っても、公安に突然訪問を通告される事案は実際に発生しています。
中華人民共和国公安省令(公安机关互联网安全监督检查规定)では、公安機関におけるインターネットセキュリティの監督と検査に関する規定が定められています。規定は5章29条からなる短い内容ですが、「中国サイバーセキュリティ法」とも絡めて、確認事項や罰則は多岐にわたります。
その規定では、公安に対して、以下の対応が認められています。

  •  第13条 : 公安機関が現場もしくは遠隔による、インターネットセキュリティの監督および検査
  •  第15条1項 : 事業所、コンピューター室、職場への入館
  •  第15条2項 : 監督・検査対象の担当者またはセキュリティ管理者に説明を求める
  •  第15条3項 : インターネットセキュリティ監査・検査に関する情報の参照やコピー
  •  第15条4項 : ネットワークおよび情報セキュリティ保護のための技術的対策の動作確認

代表的な項目を取り上げましたが、前述のとおり、実際に公安から連絡があり、立ち入り監査を受けた中国所在の企業は何社もあり、その多くは電話連絡から1週間以内に訪問するという内容でした。

 パターン2

実際のところ、中国拠点は営業拠点として稼働しており、情報セキュリティ、ネットワーク構成、有事の際の対応は誰もわかっていないということが少なからずあります。
中国サイバーセキュリティ法アセスメントを実施させていただいた際に伺ったのは、

  • 中国拠点はIT担当者がおらず、実質的に日本側で管理している
  • 日本が管理しているシステムを中国でも利用している
  • アジアのIT担当統括者はシンガポールにおり、中国では把握していない
  • ネットワーク構築や契約回りは中国進出時に日本担当者が実施
  • セキュリティポリシー等は、日本側で作成した内容を中国語に翻訳しているのみ
  • 数年前までは日本側でも把握していたが、それ以降は中国側に任せており、把握していない

などといった実情です。中国国内の業務内容の調査やセキュリティ対応はあと回しになっており、だれも把握していないという状況に直面することも多々あります。もし、中国現地法人で対応ができない場合、助けを求める先が日本本社の法務やITの担当者になることも、十分に考えられます。

パターン3

”中国サイバーセキュリティ法に関連した法令・ガイドラインにはまだ意見募集稿のものも多くあり、まだ対応しなくていいのではないか?”というご意見を耳にすることもあります。
確かに、中国サイバーセキュリティ法関連法令・ガイドラインについては、意見募集稿の内容がまだ多く存在します。
しかし、2017年6月に中国サイバーセキュリティ法が施行されて以降、意見募集稿をへて施行される法令・ガイドラインが日に日に増えてきています。グローバルなプライバシー保護の動きにあわせて、関連国家標準の公布、プライバシーに関する規定を含めた新民法の成立、などの立法措置が次々に実施されており、2020年7月にはデータセキュリティ法の草案も公表されました。
さらに、中国サイバーセキュリティ法に関連する執行事例も多く見受けられるようになり、2020年第1四半期では、それまでと比べて、指導・警告数が増加傾向にあります。

 結論

“中国サイバーセキュリティ法と施行済みの法令・規則をすべて理解して、すべての対策を実施しなければいけないのか?リソースが限られている中で、全部に対応するなんて無理だ。”と考えたくなるかもしれません。そこで、今からでも「説明責任を果たせるように」準備をしましょうというのがご提案です。「自社はこのような業務(情報処理)を実施しており、このような対策を実施していて、サイバーセキュリティ法の遵守に関しては、このように考えている。」という資料を準備するのです。いますぐ全てに対応する必要はありません。自社の情報処理業務を「説明」できる資料を準備し、中国現地法人がそれを用いて公安に説明できれば良いのです。

IIJでは、中国CS法対策コンサルティングサービスを実施している他、ビジネスリスクマネジメントポータルの会員様向けに「中国CS法対応テンプレート」、「中国CS法関連法規・ガイドライン一覧」などのコンテンツも販売しております。なにから手を付ければよいかわからない、中国語が読めない/話せない、中国現地訪問はコロナの影響で難しい、など、中国サイバーセキュリティ法への対応にお悩みをもお持ちのお客様は、是非お気軽にお問合せください。

執筆:新村 僚(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp

SNSで記事をシェア

関連するブログ

  • 2020年7月2日
【PR】従業員の健康情報って大丈夫?コロナ禍で気になり始めたこと
  • 2020年12月1日
【PR】日本企業のDPO(ドイツ編)<ドイツでは速度制限なし⁈、えっ、お酌がちゃんと…
  • 2020年8月18日
【PR】CCPA(カリフォルニア州消費者プライバシー法)規則が成立、施行~クッキーに…
  • 2020年9月1日
【PR】英国・ロンドンの欧州子会社で個人データの侵害が発生。さて、どうする!
  • 2020年9月24日
【PR】クッキーのみなし同意はダメ

関連記事

  • 2024年 11月 21日
EU 汎用AIモデル実務規範の第1草稿を公表
  • 2024年 11月 15日
欧州委員会 初のNIS2指令実施規則を採択
  • 2024年 10月 29日
中国 インターネットプラットフォーム、製品及びサービスにおける個人情報処理に関する国…
  • 2024年 10月 16日
英国 ICO、新たなデータ保護監査フレームワークを公表
  • 2024年 10月 16日
厚労省 医療デジタルデータのAI研究開発等への利活用に係るガイドラインを周知
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
サイトの顔がクッキーバナーなんて台無しだ STRIGHT

アクセスランキング

1
2
3
4
5
無料eBook一覧

プライバシーガバナンス構築・運用の「虎の巻」

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。