- 2024年 4月 1日
中国の事業拠点で、日本テナントのMicrosoft 365(Office 365)で、メール、Teams、OneDriveなどを利用したいというご相談をよく受けます。はたしてこれは実現できるのでしょうか。
Microsoft 365にとどまらず、様々なクラウド型のサービスの全世界での活用や、基幹システムのグローバル統一などは、企業にとって利便性だけでなくコスト、セキュリティ、保守性などで多くのメリットをもたらします。しかし中国では様々な理由により、クラウド型サービス利用や、システムのグローバル統一が難しい場合があります。中国にて海外のクラウドサービスや、日本本社のシステムを利用するはどのようなリスクがあり、どのような対応が求められるのでしょうか?
リスク1:(テクノロジー面)グレートファイアウォールによる通信制限
ご存知の通り中国国内では、Googleの検索機能やFacebook、Twitterなどのサービスは利用できません。これらのサービスへの通信は、中国政府の方針により、国家ぐるみのファイアウォール機能でブロックされてしまっているためです。このインターネット上の検閲システムは、万里の長城(The Great Wall)とファイアウォール(Firewall)をもじってグレートファイアウォール(Great Firewall中国語:防火長城)と呼ばれています。
このグレートファイアウォールの主な目的は、中国国内のインターネット産業を守るためとも、中国政府の不利益になる言論を取り締まるためといわれています。ただ少しやっかいなのは、この通信遮断は何の予告もなく行われるケースが多いことです。つまり使えていたインターネットサービスやシステムがある日突然使えなくなってしまう可能性があるのです。このグレートファイアウォールによる通信制限を回避するにはVPNを使う方法もあります。しかし中国政府はこのVPNの利用に際してライセンス制を導入しており、規制や監視は厳しくなる傾向にあります。Microsoft 365のようなクラウド型のシステムを利用する場合も、グレートファイアウォールによる通信遮断を気にしながら運用することになります。
リスク2:(法律面)データ越境移転(越境転送)規制
一方で、法律面での制約もあります。中国では、データの中国国外への移転に関する規制(データ越境移転規制)が定められており、特定の要件を満たす場合、データは中国国内[1]保存、中国国内から中国国外へデータを送付する場合には、安全審査や認証取得、越境移転標準契約締結、同意の取得などを行う事が求められています。
(1)データの越境移転とは何か?
中国法におけるデータの越境移転とはどのような概念なのでしょうか。関連するガイドラインでは、越境移転の定義として、以下のように定義されています。
|
データ越境移転の定義 |
ここで注意が必要なのは、このデータ越境移転規制は、ただ単に中国国内のデータを国外に持ち出す際だけでなく、データ自体は中国国外に物理的には移転されていなくても、中国国外の企業又は個人が閲覧・アクセス可能にする場合や、海外のクラウドシステムを利用する際などにも適用されるとされている点です。
(2)データ越境移転を規律する法律は?
このデータ越境移転規制は、従来は中国サイバーセキュリティ法において規制がされていましたが、2021年以降、データセキュリティ法、個人情報保護法、関連ガイドラインが続々と公表され規制は強化される傾向にあります。サイバーセキュリティ法やデータセキュリティ法の立法目的は、サイバー空間やデータにおけるにおける中国の主権や安全、社会公共の利益を守る事などが主目的とされていましたが、個人情報保護法では個人情報の権益保護や個人情報の合理的な使用促進が主目的とされており、少し性質が異なっています。
| 法律名 | 公布(成立) | 施行 | 備考 | |
| 日本語訳 | 中国名 | |||
| サイバーセキュリティ法(CSL) | 中华人民共和国网络安全法 | 2016年11月7日 | 2017年6月1日 | |
| 2022年9月14日 | ー(意見募集稿) | 改正案 | ||
| データセキュリティ法(DSL) | 中华人民共和国数据安全法 | 2021年6月10日 | 2021年9月1日 | |
| 個人情報保護法(PIPL) | 中华人民共和国个人信息保护法 | 2021年8月20日 | 2021年11月1日 | |
(3)違反するとどうなる?
サイバーセキュリティ法に加え、2021年のデータセキュリティ法、個人情報保護法の施行により、中国におけるデータ保護主要3法の枠組みはおおよそ固まったと言えます。関連法規・ガイドラインが続々と整備されており、今後法執行は本格化してくるものと想定されます。
サイバーセキュリティ法においては、この越境移転規制に違反した場合には、是正命令、警告、違法所得の没収、(企業だけでなく担当責任者にも)、関連業務の一時停止、営業停止・粛正、ウェブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消しを命じることができるとされています。個人情報保護法においては、情状が重い場合は、5千万元以下(約10億円)又は前年の売上高の5%以下の過料を課すとの規定も見られ、リスクは小さくありません。
事業者に求められる対応
では、中国では、Microsoft 365のような海外クラウドは利用できないのでしょうか?結論から言うと、データの越境移転は一定の対応を行えば実現は可能となるケースが多くあります。各種法令に照らし合わせて調査を実施し、適法化に向けた道筋を整理しておくことが重要です。
本稿執筆時点では、現実的には、Microsoft 365のうちメールの機能など、中国から技術的には利用できている海外クラウドも多数あります。法律面での対応も、必ずしもすべてのデータ越境移転を禁止しているわけではありません。テクノロジーや法制度のリスクを正しく理解することで、より現実的な対応を行う事が可能となります。以下に現実的にどのような対応を行うべきなのかの事例を記載します。
(1)短期的対応:現状を把握する
最初に実施するべきことは現状を把握する事です。具体的には以下のような例に記載するような事項は把握しておく必要があります。
特に中国国外にあるシステムが重要な業務を担っている場合(例:日本に設置したMicrosoft 365やERP(SAPなど)を中国でも利用している場合など)は、越境移転規制の摘発時の事業への影響が大きくなるため、正確に状況を把握しておく事が望ましいと言えます。
(2)中期的対応:データ越境移転の適法化対応
仮に中国国外へのデータ越境移転を行っている事が判明した場合は、データの取り扱いに関して適法化対応を行っておく必要があります。様々な規定がありますが、規制を整理すると以下のようになります。
■重要情報インフラ運営者に該当する企業
・中国国内での運営において収集及び発生した個人情報及び重要データは、原則は中国国内で保存
・業務の必要により、境外に提供する必要がある場合は、定められた規則に従ってセキュリティ評価を実施
■重要情報インフラ運営者及び当局が規定する数量に達して個人情報を取扱う個人情報取扱者
・中華人民共和国国内で収集及び発生した個人情報は、原則は中国国内で保存
・やむを得ず国外に提供する必要がある場合は、定められた規則に従ってセキュリティ評価への合格
この「規定する数量」とは、別冊のガイドラインにて、セキュリティ評価が必要とされる要件について、以下のような条件が規定されています。
・100万人以上の個人情報を取扱うデータ取扱者が、中国国外に個人情報を提供する場合
・前年の1月1日以降、累計で10万人の個人情報または1万人のセンシティブ個人情報を国外に提供しているデータ取扱者が、国外に個人情報を提供する場合
■その他の個人情報取扱者
その他の個人情報取扱者が個人情報を境外に移転する場合、定められた項目を個人に通知した上、個人から個別の同意を取得するほか、以下のいずれかが求められる。
・定められた規則に従った専門機関による個人情報保護認証の取得
・当局により規定された標準契約書に従い、国外受領者と契約を締結し、両当事者の権利及び義務について合意する
・法律、行政法規、又は国家インターネット情報部門が定めたその他の基準を満たす
※標準契約書について
2023年2月に公表されたガイドライン(2023年6月1日から施行)では、標準契約の契約の効力発生日から10営業日以内に、所在地の省レベルのインターネット情報部門に標準契約書に加え 個人情報保護影響評価報告書(PIPIA)を提出しなければならず、本規則の施行前に既に実施された個人情報越境移転活動が本規則の規定に適合しない場合、施行日から6ヶ月以内に是正を完了しなければならないとされています。
データ越境移転に関する法制度は、一部ガイドラインが未整備の状況であり、詳細が固まっていないものもあり、適法化の方法は少し複雑です。ただし、当局の立ち入りなどがあった場合にも、このような越境移転に関する状況把握を行い、必要な対応を行おうとしていることを示せれば、制裁のリスクは減らすことができます。
(3)中長期的対応:システム対策(システムの中国国内への移設の検討)
中長期的には、システム面での対応も検討する必要があります。具体的には、データや基幹システムの中国国内への移設や、中国国外のクラウドを中国国内のクラウドに切り替えるなどの対応です。この対応により、データの中国国外への越境移転運用をなくすことができれば、グレートファイアウォールによる突然の通信遮断にも備えることができ、データ越境移転規制リスクは大幅に減らすことができます。ただ、この対策は有効ではありますが、時間もコストもかかるのが実情です。多くの企業では、まずはデータ越境移転の適法化対応を実施しておくのがひとつのゴールとなると考えられます。
必ずしもすべてのデータ越境移転を禁止しているわけではない
このように、中国ではデータの国内保管を推奨するような規制がされているものの、中国データ保護関連法令では、必ずしもすべてのデータ越境移転を禁止しているわけではありません。グレートファイアウォール対応や、システムの中国国内への移設などは、まじめに全て対応しようとすると、大変な時間とコストが必要となります。実際に小規模拠点でのシステムで中国国内に個別にシステムを構築するのにはコストに見合わず中国国外のクラウドを利用せざるを得ない場合も多々あるかと思われます。
中国国外のMicrosoft 365など、中国国外のクラウド利用などは、はじめからあきらめるのではなく、グレートファイアウォールや、データ越境移転規制の正しい理解に基づき、適切に対処すれば、当局からの摘発リスクを減らしつつ、実現的な落としどころを探すことが可能となります。
IIJの中国サイバーセキュリティ法対策ソリューション
さて、IIJでは、中国におけるデータ越境移転などに関するお悩みに対して「中国データ保護関連法令法令対策コンサルティングサービス」を実施している他、ビジネスリスクマネジメントポータルのアドバンスト会員様向けに「中国データ保護関連法令・ガイドライン(サイバーセキュリティ法、データセキュリティ法、個人情報保護法、個人情報セキュリティ規範)の邦訳」「中国データ保護関連法令 関連法規・ガイドライン一覧」などのコンテンツも用意しています。何から手を付けてればよいかわからない、そもそも中国法の適用対象なのかチェックしたい、データ越境移転への対応法がわからない、などのお悩みをお持ちのお客様は、是非お気軽にお問い合わせください。
[1] 正確には香港、マカオ、台湾を除く中国本土内(中国境内)となります。(以降も同様)
[2] 公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要な産業及び分野、並びにひとたび機能の破壊、喪失又はデータの漏洩に遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得る情報インフラ。(サイバーセキュリティ法31条)
»質問事例:【中国】中国代理人の設置が必要となる要件はこちら
