中国では2017年に「サイバーセキュリティ法」が全面施行され、データ管理や情報セキュリティ対策が一段と厳格化しました。同法は、中国での事業展開を検討する企業や現地法人にも大きな影響を及ぼす内容となっています。
ところが、クララ株式会社の調査によると、日系企業の中国の情報セキュリティ関連法(中国サイバーセキュリティ法/データセキュリティ法/個人情報保護法)への対応について、実際に対策を実施し、管理体制を確立している企業は、2022年1月現在で全体のわずか5%程度です[1]。
サイバーセキュリティ法への対応は、中国ビジネスの安全な運営に欠かせません。本記事では、サイバーセキュリティ法の概要から企業が取るべき具体的な対応策までを分かりやすく解説します。
データのローカライゼーション義務や、個人情報保護規定などにおけるシステム対策の実務的な課題と対処法に加え、関係法令との整合性など、実務で役立つポイントが満載です。ぜひこの記事で同法の内容を確認し、事前の備えにご活用ください。
目次
1. 中国のサイバーセキュリティ法の適用対象
中国のサイバーセキュリティ法は、2017年6月1日に施行された、国家安全保障とネットワーク空間における主権の確保、経済社会の情報化促進、公共の利益保護を目的とする法律です。
サイバーセキュリティ法制定の背景には、深刻化するサイバー攻撃への対策強化と、従来の分散したネットワーク管理体制に対する一元化の促進が挙げられます。
サイバーセキュリティ法の適用対象は、以下の通りです。
対象 | 内容 | 適用義務 |
ネットワーク運営者 | ネットワークの所有者や管理者、ネットワークサービス提供者(ホームページなどを運用する事業者、インターネットを介するサービスを提供する事業者など) | 内部安全管理制度および操作規定の制定など |
重要情報インフラ運営者 | 公共通信、情報サービス、エネルギー、交通、金融など重要情報インフラを運営する事業者 | データの国内保存・国外移転制限、国家機関への報告など |
このように、インターネット関連企業のみならず、重要情報インフラを運営する企業にも適用されることが同法の特徴です。
また、2022年9月に公表されたサイバーセキュリティ法の改正案では、罰金の引き上げなど、罰則の強化が打ち出されています。
2. 中国のサイバーセキュリティ法の主要規定
中国のサイバーセキュリティ法の主要な規定についてまとめました。
2-1. ネットワーク運営者の義務
中国のサイバーセキュリティ法では、ネットワーク運営者に以下の義務が課されています。
<主な義務>
- サイバーセキュリティの等級保護制度に基づく、ネットワークの安全運用に関する措置の実施
- ネットワークセキュリティに関する緊急対応マニュアルの制定
- ユーザーに対し、実名など「真実の身分情報」の確認(インターネットや固定電話の接続など、一部のサービスを提供する場合)
- 発生したサイバーセキュリティインシデントへの適切な対処とユーザーおよび関係所管機関への報告
- ユーザーの個人情報保護(個人情報収集時における目的や範囲などの明示と同意の取得、漏えい・改ざんなどの禁止、適切なデータ管理体制の構築など)
- 国家の安全維持や犯罪捜査活動のために、公安機関・国家安全機関から要請があった際の技術サポートおよび協力
このように、幅広い内容が義務付けられており、ネットワーク運営者には法令遵守が強く求められています。
2-2. サイバーセキュリティ等級保護制度の導入
中国のサイバーセキュリティ法では、ネットワークの重要度に応じてサイバーセキュリティ等級を設定しています。ネットワーク運営者は、各等級に見合った保護措置を講じることが義務付けられています。
対象 | 損害の程度 | ||
一般的な損害 | 重大な損害 | 特に重大な損害 | |
公民、法人および他の組織の合法利益 | 1級 | 2級 | 2級 |
社会秩序および公共の利益 | 2級 | 3級 | 4級 |
国家の安全 | 3級 | 4級 | 5級 |
5つの等級があり、等級が大きいほどシステム設計、ネットワーク製品・サービスの採用、運用管理、事故対応など、さまざまな側面で高度な保護措置が求められます。ネットワーク運営者はネットワークの等級を適切に判断し、保護措置の要件を満たさなければなりません。
なお、2級以上の場合は専門家および主管部門の審査を受けた後、公安機関への届け出が必要です。
2-3. 重要情報インフラ運営者への要求事項
中国のサイバーセキュリティ法では、障害が発生した場合に国家安全、経済、公共の利益に重大な損害を与える恐れのある「重要情報インフラ」の運営者に対して厳しい要求事項が課されています。重要情報インフラに該当する分野には、以下が挙げられています。
分野 | 例 |
公共通信・情報サービス | 通信ネットワーク、インターネットなど |
エネルギー | 電力、石油、ガスなど |
交通 | 鉄道、航空、道路など |
水資源 | 上下水道など |
金融 | 銀行、証券、保険など |
公共サービス | 医療、教育、社会保障など |
電子政務 | 政府システムなど |
その他 | 指定された分野 |
こうした重要情報インフラの運営者は、以下の義務を負います。
要求事項 | 内容 |
データのローカライゼーション | 一定の重要データは中国国内に保存 |
国家安全審査 | ネットワーク製品・サービスの導入時に、国による安全審査に合格 |
定期的な安全性およびリスク評価の実施と報告 | 少なくとも年1回、安全性およびリスク評価を実施し、評価状況と改善措置を関係所管機関へ報告 |
2-4. データのローカライゼーション義務
サイバーセキュリティ法第37条では、一定の重要データを中国国内に保存する義務が定められています。
また同法および関係法令により、重要情報インフラ運営者や、その他データ取扱者が、中国国内での運営において収集・作成した個人情報および重要データを国外に移転する場合は、以下の要件を満たす必要があります。
<データの国外移転の要件>
- 関係法令に従うこと
- 中国政府当局による安全評価に合格すること
- 個人情報の場合、本人の同意を得ること
サイバーセキュリティ法の施行後、重要データの基準のあいまいさや、手続きの煩雑さなどが原因で、企業側の対応は遅れていました。
そのような中、2024年3月22日に「データの越境流動の促進と規範に係る規定[2]」が公布・施行され、データの国外移転の要件が大幅に緩和、手続きも簡素化されました。
以下の要件に当てはまる場合は、データの国外移転に関して、安全評価の申告などの手続きが免除されます。
- 個人情報または重要データを含まない場合
- 海外の個人情報を中国国内で取り扱い、中国国内の個人情報や重要データを加えることなく再び海外に移転させる場合
- 個人による海外での買い物や、海外ホテルの予約など、個人を当事者とした契約で個人情報を海外に提供しなければならない場合
- 法律により定められた就業規則および労働協約に基づき、国境を越えた人事管理のために個人情報を海外に提供する必要がある場合
- 緊急時、個人の安全と財産を守るために、海外にデータを提供する場合
- 重要情報インフラ運営者以外のデータ取扱者が、該当年を累計して10万人分未満の個人情報(機微な個人情報を含まない)を海外に提供する場合
- 自由貿易試験区内のデータ取扱者が、ネガティブリスト以外のデータを海外に提供する場合
上記の6.の通り、機微な個人情報を含まない個人情報の国外移転であれば、それが10万人分未満かどうかが、最初の判断基準となります。
また、重要データの詳細な基準が明確にされているのは、自動車関連などの特定の分野に限られています。
重要データとされる範囲については、政府の関連部門や地域の機関が通知または公表した内容とされているため、実務上では関連する政府機関などからの指摘がない限り、重要データではないという解釈となりそうです。
このように、サイバーセキュリティ法はデータのローカライゼーションを義務付け、データの国外移転には一定の条件を課していますが、該当する日本企業は限られます。該当する企業には、適正なデータ管理・運用体制の構築が求められます。
2-5. 個人情報保護に関する規定
中国のサイバーセキュリティ法では、ネットワーク運営者に対し、収集した個人情報の適切な保護を義務付けています。具体的には、以下の点が規定されています。
- 個人情報の収集は、あらかじめ本人の明示的な同意を得なければならない
- 収集目的の範囲を超えて個人情報を収集・使用してはならない
- 個人情報の外部提供時には、本人の同意を得なければならない
- 個人情報の保護のため、技術的・組織的な措置を講じなければならない
日本企業も中国での事業活動において、こうした規定を遵守する必要があります。一例として、中国に拠点がある日系企業の個人情報管理体制を示すと、以下のようになります。
個人情報管理体制 | 具体的な取り組み |
個人情報取扱規程の整備 | 中国の個人情報保護法など、関係法令を踏まえた規程の制定 |
個人情報保護責任者の設置 | 個人情報保護に関する責任者の任命 |
従業員教育の実施 | 個人情報保護に関する教育・研修の実施 |
技術的安全対策 | アクセス制限、暗号化、監視ツール導入 |
このように、中国での事業においては、個人情報保護対策を適切に講じることが不可欠です。
3. 関係法令
中国のサイバーセキュリティ法には、データセキュリティ法や個人情報保護法など、密接に関係する法令があります。これら3つの法令は、以下のように位置付けられています。
法律名 | 主な対象 | 内容 |
サイバーセキュリティ法 | ネットワーク運営者、重要情報インフラ運営者 | サイバー空間セキュリティに対する全体的な管理規定 |
データセキュリティ法 | データ取扱者 | データ処理活動におけるデータセキュリティとデータ開発および利用の規定 |
個人情報保護法 | 個人情報取扱者 | 個人情報の保護・取り扱いに関する規定 |
これら3法はそれぞれ重複する部分もありますが、相互に関連しながら中国のデータ保護制度を形成しています。
大枠としては、サイバーセキュリティ法がネットワークの安全性確保について示し、データセキュリティ法がデータ処理の全プロセスへの具体的な対策を、個人情報保護法が個人情報に特化した規制を行うという形になっています。
企業はこれらの法令を包括的に理解し、対応を進める必要があります。
3-1. 中国のデータセキュリティ法
中国のデータセキュリティ法は、2021年9月1日に施行されたデータ分野における基本法令です。この法令は、データ処理活動におけるデータセキュリティの規範化とデジタル産業の発展促進を目的としています。主な規定をまとめました。
<データ分類と保護義務>
- 核心データ
- 重要データ
- 一般データ
上記の分類に応じた、データ保護義務が定められています。
<データ送信に関する規制>
重要データは原則国内保存とされ、手続きの免除要件に該当しない国外移転には中国政府当局による安全評価への合格が必要です。
<データ安全審査制度>
国家の安全に影響を与える、または与え得るデータを扱う事業者に対しては、国家安全審査が実施されます。
<リスク評価および報告制度>
重要データの取扱者はリスク評価を定期的に実施し、リスク評価報告書を関係所管機関に届け出なければなりません。
サイバーセキュリティ法との関係として、サイバーセキュリティ法はネットワークの管理について、データセキュリティ法はデータ自体の管理について定めていると整理できます。
3-2. 中国の個人情報保護法
個人情報の収集・使用については、合法的な手段で行う必要があり、個人情報主体の同意を得ることが求められます。また、収集した個人情報の目的外利用は原則禁止されています。
手続きの免除要件に当てはまらない範囲で個人情報を国外に移転する場合は、所定の手続きを行う必要があります。例えば、以下のような場合が該当します。
- 重要な個人情報を国外に移転・保存する場合
- 一定量を超える個人情報を国外に移転する場合
- 外国政府(司法・法執行機関)に国内保存している個人情報を提供する場合
企業は、こうした法令に対応しながら従業員や顧客の個人情報を適切に管理する体制を整備する必要があります。
4. 日本企業への影響と対策
中国でビジネスを展開している日本企業は、その事業内容によってサイバーセキュリティ法の影響を受ける可能性があります。主に以下のような企業が対象となります。
- 中国に支店やオフィスを置く企業
- 中国でクラウドサービスやデータセンターを運営する企業
- 中国の個人情報を取り扱う企業
- 中国の重要情報インフラ(金融、通信、エネルギーなど)に関わる企業
特に重要情報インフラ運営者に該当する企業は、厳格な情報セキュリティ対策と中国政府当局への報告義務が課されます。また、個人情報や重要データの国外移転に制限がかかる可能性もあります。
サイバーセキュリティ法は、中国に拠点を持つだけでなく、中国の個人や企業と取引がある日本企業も、本法の適用対象に含まれる可能性がある点に注意が必要です。適用対象となる企業は、以下の対応が求められます。
<法務・コンプライアンス部門の対応>
- サイバーセキュリティ法をはじめ、関係法令の理解と全社への周知
- 等級の判定など、法的リスクの評価と対策の立案
- 社内規程の整備
<IT・情報システム部門の対応>
- 中国政府当局への報告・届け出義務の確認
- サイバーセキュリティ法および関係法令に沿った保護措置のシステムへの導入
- データ管理体制の構築
このように、サイバーセキュリティ法の影響は幅広く、各部門が連携し、適切な対応を取ることが重要です。
また、サイバーセキュリティ法などのネットワーク・データセキュリティに関する法令は今後一層厳格化される可能性が高く、対応が後手に回ると重大なリスクにつながりかねません。そのため、企業は以下の対策を検討する必要があります。
- 専門家の起用によるリスク評価と対策立案
- 社内規程の整備と従業員教育の実施
- セキュリティ監査の定期的な実施
- データ管理体制の構築と監視・是正プロセスの確立
中国政府当局の動向を注視しつつ、サイバーセキュリティ対策を継続的に強化していくことが不可欠です。コストと手間はかかりますが、リスクを最小限に抑えて事業を継続するために着実な対応が求められます。
- PwC Japan「中国サイバーセキュリティ法対応支援 日系企業における中国サイバーセキュリティ法への対応状況」,https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-security-china01.html(閲覧日:2024年7月10日)
- JETRO「2022 年サイバーセキュリティおよびデータ 保護に関する主要な法令の調査報告書」,2023年3月,https://www.jetro.go.jp/ext_images/world/asia/cn/tohoku/pdf/labor_020.pdf(閲覧日:2024年7月10日)
- PwC Japan「中国サイバーセキュリティ法のポイントと日本企業が講じるべき対策」,https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/china-data-security1.html(閲覧日:2024年7月10日)
- JETRO「中国におけるサイバーセキュリティー、データセキュリティーおよび個人情報保護の法規制にかかわる対策マニュアル」,2021年11月,https://www.jetro.go.jp/ext_images/_Reports/02/0c080037fe572f0d/202111.pdf(閲覧日:2024年7月10日)
- JETRO「中国の経済安全保障に関する制度情報」,2021年10月29日),https://www.jetro.go.jp/ext_images/_Reports/01/04c339ffc1751cb1/20210042_01.pdf(閲覧日:2024年7月10日)
- JETRO「「データセキュリティ法」の概要~中国の安全保障貿易管理に関する制度情報専門家による政策解説~」,2021年12月,https://www.jetro.go.jp/ext_images/_Reports/01/580a6448fa87f0bb/20210056_04.pdf(閲覧日:2024年7月10日)
[1] クララ株式会社「日系企業の中国サイバーセキュリティ法等への対応状況に関する調査」,2022年1月27日,https://consulting.clara.jp/news/cs-law-counterplan-report/ (閲覧日:2024年4月30日)
[2] 中華人民共和国中央人民政府「国家互联网信息办公室令第16号 促进和规范数据跨境流动规定」,2024年3月22日,https://www.gov.cn/gongbao/2024/issue_11366/202405/content_6954192.html(閲覧日:2024年7月9日)