中国では2017年に「サイバーセキュリティ法」が全面施行され、データ管理や情報セキュリティ対策が一段と厳格化しました。同法は中国での事業展開を検討する企業や現地法人にも大きな影響を及ぼしており、法令遵守は中国ビジネスの大前提となっています。
ところが、クララ株式会社の調査によると、日系企業の中国の情報セキュリティ関連法(中国サイバーセキュリティ法/データセキュリティ法/個人情報保護法)への対応について、実際に対策を実施し、管理体制の確立が間に合っている企業は全体のわずか5%程度です[1]。
サイバーセキュリティ法対策は、中国ビジネスの安全な運営に欠かせません。
本記事では、サイバーセキュリティ法の概要から企業が取るべき具体的な対応策までを分かりやすく解説します。
データのローカライゼーション義務や個人情報保護規定などにおけるシステム対策の実務的な課題と対処法に加え、関係法令との整合性など、実務で役立つポイントが満載です。ぜひこの記事で同法の内容を確認し、事前の備えにご活用ください。
無料eBook
中国赴任準備はこれで完璧!
赴任準備マニュアル
事前の準備から現地の作法まで徹底解説
現地駐留歴4年のスタッフがまとめた渾身の一冊。
快適な中国ライフを送るための準備はこれで完璧!
目次
1. 中国のサイバーセキュリティ法の適用対象
中国のサイバーセキュリティ法は、2017年6月1日に施行された、国家安全保障とネットワーク管理に関わる重要な法律です。
この法律制定の背景には、深刻化するサイバー攻撃への対策強化と、従来の分散的なネットワーク管理体制に対する一元化への必要性の高まりがありました。サイバーセキュリティ法の主な目的は、国家安全とネットワーク空間における主権の確保、経済社会の情報化促進、公共の利益保護です。
サイバーセキュリティ法の適用対象は、以下の通りです。
| 対象 | 内容 | 適用義務 |
| ネットワーク運営者 | ネットワークの所有者や管理者、ネットワークサービス提供者(ホームページなどを運用する事業者、インターネットを介するサービスを提供する事業者など) | 内部安全管理制度および操作規定の制定など |
| 重要情報インフラ運営者 | 公共通信、情報サービス、エネルギー、交通、金融など重要インフラを運営する事業者 | データの国内保存・国外移転制限、国家機関への報告など |
このように、インターネット関連企業のみならず、重要インフラを運営する企業にも本法が適用されることが特徴です。
また、2022年9月にサイバーセキュリティ法の改正案が公表され、罰金の引き上げなど罰則の強化が行われました。主な改正点は以下の通りです。
- インターネット運行安全保護義務違反を「一般違法行為」「是正拒否または情状が重い」「情状が特に重い」の3つに区別し、異なる処罰措置を規定
- 一般違法行為に対し、行政処罰措置として「戒告・けん責」を導入
- 企業に対する罰金の大幅な引き上げ(最高5千万元以下、または前年度の売上高の5%以下)
2. 中国のサイバーセキュリティ法の主要規定
中国のサイバーセキュリティ法の主要な規定についてまとめました。
- ネットワーク運営者の義務
- サイバーセキュリティ等級保護制度の導入
- 重要情報インフラ運営者への要求事項
- データのローカライゼーション義務
- 個人情報保護に関する規定
2-1. ネットワーク運営者の義務
中国のサイバーセキュリティ法では、ネットワーク運営者に以下の義務が課されています。
<主な義務>
- サイバーセキュリティ等級保護制度に基づくネットワークの安全運用に関する措置の実施
- ネットワークセキュリティに関する緊急対応マニュアルの制定
- ユーザーに対し、実名など「真実の身分情報」の確認(インターネットや固定電話の接続など、一部のサービスを提供する場合)
- 発生したサイバーセキュリティインシデントへの適切な対処とユーザーおよび関係所管機関への報告
- ユーザーの個人情報保護(個人情報収集時における目的や範囲などの明示と同意の取得、漏えい・改ざんなどの禁止、適切なデータ管理体制の構築など)
- 国家の安全維持や犯罪捜査活動のために、公安機関・国家安全機関から要請があった際の技術サポートおよび協力
このように、幅広い内容が義務付けられており、ネットワーク運営者には法令遵守が強く求められています。
2-2. サイバーセキュリティ等級保護制度の導入
中国のサイバーセキュリティ法では、ネットワークの重要度に応じてサイバーセキュリティ等級を設定しています。ネットワーク運営者は、各等級に見合った保護措置を講じることが義務付けられています。
| 対象 | 損害の程度 | ||
| 一般的な損害 | 重大な損害 | 特に重大な損害 | |
| 公民、法人および他の組織の合法利益 | 1級 | 2級 | 2級 |
| 社会秩序および公共の利益 | 2級 | 3級 | 4級 |
| 国家の安全 | 3級 | 4級 | 5級 |
5つの等級があり、等級が大きいほどシステム設計、ネットワーク製品・サービスの採用、運用管理、事故対応など、さまざまな側面で高度な保護措置が求められます。ネットワーク運営者はネットワークの等級を適切に判断し、保護措置の要件を満たさなければなりません。
なお、2級以上の場合は専門家および主管部門の審査を受けた後、公安機関への届け出が必要です。
2-3. 重要情報インフラ運営者への要求事項
中国のサイバーセキュリティ法では、障害が発生した場合に国家安全、経済、公共の利益に重大な損害を与える恐れのある「重要情報インフラ」の運営者に対して厳しい要求事項が課されています。重要情報インフラに該当する分野には、以下が挙げられています。
| 分野 | 例 |
| 公共通信・情報サービス | 通信ネットワーク、インターネットなど |
| エネルギー | 電力、石油、ガスなど |
| 交通 | 鉄道、航空、道路など |
| 水資源 | 上下水道など |
| 金融 | 銀行、証券、保険など |
| 公共サービス | 医療、教育、社会保障など |
| 電子政務 | 政府システムなど |
| その他 | 指定された分野 |
こうした重要インフラの運営者は、以下の義務を負います。
| 要求事項 | 内容 |
| データのローカライゼーション | 一定の重要データは中国国内に保存 |
| 国家安全審査 | ネットワーク製品・サービスの導入時に、国による安全審査に合格 |
| 定期的な安全性およびリスク評価の実施と報告 | 少なくとも年1回、安全性およびリスク評価を実施し、評価状況と改善措置を関係所管機関へ報告 |
2-4. データのローカライゼーション義務
サイバーセキュリティ法第37条では、一定の重要データを中国国内に保存する義務が定められています。具体的には、重要情報インフラ運営者が中国国内での運営において収集・生成した個人情報および重要データが該当します。
また、これらのデータを国外に移転する場合は、以下の要件を満たす必要があります。
<データの国外移転の要件>
- 関係法令に従うこと
- 中国政府当局による安全評価に合格すること
- 個人情報の場合、本人の同意を得ること
このように、サイバーセキュリティ法はデータのローカライゼーションを義務付け、データの国外移転には一定の条件を課しています。企業はこうした規定の理解と、適正なデータ管理体制の構築が求められます。
2-5. 個人情報保護に関する規定
中国のサイバーセキュリティ法では、ネットワーク運営者に対し、収集した個人情報の適切な保護を義務付けています。具体的には、以下の点が規定されています。
- 個人情報の収集は、あらかじめ本人の明示的な同意を得なければならない
- 収集目的の範囲を超えて個人情報を収集・使用してはならない
- 個人情報の外部提供時には、本人の同意を得なければならない
- 個人情報の保護のため、技術的・組織的な措置を講じなければならない
日本企業も中国での事業活動において、こうした規定を遵守する必要があります。一例として、中国に拠点がある日系企業の個人情報管理体制を示すと、以下のようになります。
| 個人情報管理体制 | 具体的な取り組み |
| 個人情報取扱規程の整備 | 中国の個人情報保護法など、関係法令を踏まえた規程の制定 |
| 個人情報保護責任者の設置 | 個人情報保護に関する責任者の任命 |
| 従業員教育の実施 | 個人情報保護に関する教育・研修の実施 |
| 技術的安全対策 | アクセス制限、暗号化、監視ツール導入 |
このように、中国での事業においては、個人情報保護対策を適切に講じることが不可欠です。
3. 関係法令
中国のサイバーセキュリティ法には、データセキュリティ法や個人情報保護法など、密接に関係する法令があります。これら3つの法令は、以下のように位置付けられています。
| 法律名 | 主な対象 | 内容 |
| サイバーセキュリティ法 | ネットワーク運営者、重要情報インフラ運営者 | サイバー空間セキュリティに対する全体的な管理規定 |
| データセキュリティ法 | データ取扱者 | データ処理活動におけるデータセキュリティとデータ開発および利用の規定 |
| 個人情報保護法 | 個人情報取扱者 | 個人情報の保護・取り扱いに関する規定 |
これら3法はそれぞれ重複する部分もありますが、相互に関連しながら中国のデータ保護制度を形成しています。
大枠としては、サイバーセキュリティ法がネットワークの安全性確保について示し、データセキュリティ法がデータ処理の全プロセスへの具体的な対策を、個人情報保護法が個人情報に特化した規制を行うという形になっています。
企業はこれらの法令を包括的に理解し、対応を進める必要があります。
3-1. 中国のデータセキュリティ法
中国のデータセキュリティ法は、2021年9月1日に施行されたデータ分野における基本法令です。この法令は、データ処理活動におけるデータセキュリティの規範化とデジタル産業の発展促進を目的としています。主な規定をまとめました。
データ分類と保護義務
- 核心データ
- 重要データ
- 一般データ
上記の分類に応じた、データ保護義務が定められています。
データ送信に関する規制
重要データは原則国内保存とされ、国外移転には中国政府当局による安全評価への合格が必要です。
データ安全審査制度
国家の安全に影響を与える、または与え得るデータを扱う事業者に対しては、国家安全審査が実施されます。
リスク評価および報告制度
重要データの取扱者はリスク評価を定期的に実施し、リスク評価報告書を関係所管機関に届け出なければなりません。
サイバーセキュリティ法との関係として、サイバーセキュリティ法はネットワークの管理について、データセキュリティ法はデータ自体の管理について定めていると整理できます。
3-2. 中国の個人情報保護法
個人情報の収集・使用については、合法的な手段で行う必要があり、個人情報主体の同意を得ることが求められます。また、収集した個人情報の目的外利用は原則禁止されています。
個人情報の保管・送信に関しては、個人情報を国外に移転する場合、一定の要件を満たす必要があります。例えば、以下のような場合が該当します。
- 重要な個人情報を国外に移転・保存する場合
- 一定量を超える個人情報を国外に移転する場合
- 外国政府(司法・法執行機関)に国内保存している個人情報を提供する場合
このように、企業は従業員や顧客の個人情報を適切に管理する体制を整備する必要があります。
4. 日本企業への影響と対策
中国でビジネスを展開している日本企業は、その事業内容によってサイバーセキュリティ法の影響を受ける可能性があります。主に以下のような企業が対象となります。
- 中国に支店やオフィスを置く企業
- 中国でクラウドサービスやデータセンターを運営する企業
- 中国の個人情報を取り扱う企業
- 中国の重要インフラ(金融、通信、エネルギーなど)に関わる企業
特に重要情報インフラ運営者に該当する企業は、厳格な情報セキュリティ対策と中国政府当局への報告義務が課されます。また、個人情報や重要データの国外移転に制限がかかる可能性もあります。
サイバーセキュリティ法は、中国に拠点を持つだけでなく、中国の個人や企業と取引がある日本企業も、本法の適用対象に含まれる可能性がある点に注意が必要です。適用対象となる企業は、以下の対応が求められます。
法務・コンプライアンス部門の対応
- サイバーセキュリティ法をはじめ、関係法令の理解と全社への周知
- 等級の判定など、法的リスクの評価と対策の立案
- 社内規程の整備
IT・情報システム部門の対応
- 中国政府当局への報告・届け出義務の確認
- サイバーセキュリティ法および関係法令に沿った保護措置のシステムへの導入
- データ管理体制の構築
このように、サイバーセキュリティ法の影響は幅広く、各部門が連携し、適切な対応を取ることが重要です。
また、サイバーセキュリティ法などのネットワーク・データセキュリティに関する法令は今後一層厳格化される可能性が高く、対応が後手に回ると重大なリスクにつながりかねません。そのため、企業は以下の対策を検討する必要があります。
- 専門家の起用によるリスク評価と対策立案
- 社内規程の整備と従業員教育の実施
- セキュリティ監査の定期的な実施
- データ管理体制の構築と監視・是正プロセスの確立
中国政府当局の動向を注視しつつ、サイバーセキュリティ対策を継続的に強化していくことが不可欠です。コストと手間はかかりますが、リスクを最小限に抑えて事業を継続するために着実な対応が求められます。
- PwC Japan「中国サイバーセキュリティ法対応支援 日系企業における中国サイバーセキュリティ法への対応状況」,https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-security-china01.html (閲覧日:2024年4月30日)
- JETRO「2022 年サイバーセキュリティおよびデータ 保護に関する主要な法令の調査報告書」(2023年3月),https://www.jetro.go.jp/ext_images/world/asia/cn/tohoku/pdf/labor_020.pdf (閲覧日:2024年4月30日)
- PwC Japan「中国サイバーセキュリティ法のポイントと日本企業が講じるべき対策」,https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/china-data-security1.html (閲覧日:2024年4月30日)
- JETRO「中国におけるサイバーセキュリティー、データセキュリティーおよび個人情報保護の法規制にかかわる対策マニュアル」(2021年11月),https://www.jetro.go.jp/ext_images/_Reports/02/0c080037fe572f0d/202111.pdf (閲覧日:2024年4月30日)
- JETRO「中国の経済安全保障に関する制度情報」(2021年10月29日),https://www.jetro.go.jp/ext_images/_Reports/01/04c339ffc1751cb1/20210042_01.pdf (閲覧日:2024年4月30日)
- JETRO「「データセキュリティ法」の概要~中国の安全保障貿易管理に関する制度情報専門家による政策解説~(2021年12月),https://www.jetro.go.jp/ext_images/_Reports/01/580a6448fa87f0bb/20210056_04.pdf
[1] クララ株式会社「日系企業の中国サイバーセキュリティ法等への対応状況に関する調査」(2022年1月27日),https://consulting.clara.jp/news/cs-law-counterplan-report/ (閲覧日:2024年4月30日)
