- 2020年9月1日
ふいに予期しない状況に陥った時、貴社はどのように対応しますか?例えば、中国現地法人からあなたに「『中国サイバーセキュリティ(CS)法の遵守状況を確認するために貴社を訪問する』との連絡が公安からあったが、どうすれば良いですか?」という問い合わせの電話があったら、どうしますか?
どのように対応すべきか的確に指示できますでしょうか。それとも…
パターン1
“いやいや、そんないきなり公安がくることはないよ”、と思っても、公安に突然訪問を通告される事案は実際に発生しています。
中華人民共和国公安省令(公安机关互联网安全监督检查规定)では、公安機関におけるインターネットセキュリティの監督と検査に関する規定が定められています。規定は5章29条からなる短い内容ですが、「中国サイバーセキュリティ法」とも絡めて、確認事項や罰則は多岐にわたります。
その規定では、公安に対して、以下の対応が認められています。
- 第13条 : 公安機関が現場もしくは遠隔による、インターネットセキュリティの監督および検査
- 第15条1項 : 事業所、コンピューター室、職場への入館
- 第15条2項 : 監督・検査対象の担当者またはセキュリティ管理者に説明を求める
- 第15条3項 : インターネットセキュリティ監査・検査に関する情報の参照やコピー
- 第15条4項 : ネットワークおよび情報セキュリティ保護のための技術的対策の動作確認
代表的な項目を取り上げましたが、前述のとおり、実際に公安から連絡があり、立ち入り監査を受けた中国所在の企業は何社もあり、その多くは電話連絡から1週間以内に訪問するという内容でした。
パターン2
実際のところ、中国拠点は営業拠点として稼働しており、情報セキュリティ、ネットワーク構成、有事の際の対応は誰もわかっていないということが少なからずあります。
中国サイバーセキュリティ法アセスメントを実施させていただいた際に伺ったのは、
- 中国拠点はIT担当者がおらず、実質的に日本側で管理している
- 日本が管理しているシステムを中国でも利用している
- アジアのIT担当統括者はシンガポールにおり、中国では把握していない
- ネットワーク構築や契約回りは中国進出時に日本担当者が実施
- セキュリティポリシー等は、日本側で作成した内容を中国語に翻訳しているのみ
- 数年前までは日本側でも把握していたが、それ以降は中国側に任せており、把握していない
などといった実情です。中国国内の業務内容の調査やセキュリティ対応はあと回しになっており、だれも把握していないという状況に直面することも多々あります。もし、中国現地法人で対応ができない場合、助けを求める先が日本本社の法務やITの担当者になることも、十分に考えられます。
パターン3
”中国サイバーセキュリティ法に関連した法令・ガイドラインにはまだ意見募集稿のものも多くあり、まだ対応しなくていいのではないか?”というご意見を耳にすることもあります。
確かに、中国サイバーセキュリティ法関連法令・ガイドラインについては、意見募集稿の内容がまだ多く存在します。
しかし、2017年6月に中国サイバーセキュリティ法が施行されて以降、意見募集稿をへて施行される法令・ガイドラインが日に日に増えてきています。グローバルなプライバシー保護の動きにあわせて、関連国家標準の公布、プライバシーに関する規定を含めた新民法の成立、などの立法措置が次々に実施されており、2020年7月にはデータセキュリティ法の草案も公表されました。
さらに、中国サイバーセキュリティ法に関連する執行事例も多く見受けられるようになり、2020年第1四半期では、それまでと比べて、指導・警告数が増加傾向にあります。
結論
“中国サイバーセキュリティ法と施行済みの法令・規則をすべて理解して、すべての対策を実施しなければいけないのか?リソースが限られている中で、全部に対応するなんて無理だ。”と考えたくなるかもしれません。そこで、今からでも「説明責任を果たせるように」準備をしましょうというのがご提案です。「自社はこのような業務(情報処理)を実施しており、このような対策を実施していて、サイバーセキュリティ法の遵守に関しては、このように考えている。」という資料を準備するのです。いますぐ全てに対応する必要はありません。自社の情報処理業務を「説明」できる資料を準備し、中国現地法人がそれを用いて公安に説明できれば良いのです。
IIJでは、中国CS法対策コンサルティングサービスを実施している他、ビジネスリスクマネジメントポータルの会員様向けに「中国CS法対応テンプレート」、「中国CS法関連法規・ガイドライン一覧」などのコンテンツも販売しております。なにから手を付ければよいかわからない、中国語が読めない/話せない、中国現地訪問はコロナの影響で難しい、など、中国サイバーセキュリティ法への対応にお悩みをもお持ちのお客様は、是非お気軽にお問合せください。
執筆:新村 僚(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp