中国サイバーセキュリティ法 ~その内容と施行後の動向~
掲載:2018年05月18日
執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良
コラム
サイバーセキュリティ関連法規制が全世界的に強化されるなか、中国でも2017年6月1日に中国サイバーセキュリティ法が施行されました。インターネットが広範囲に普及した中国では、その利用ユーザ数は7億を超え総人口の半分に及んでいます。そして、2年前には60億件という膨大な個人情報漏洩事故が発生したともいわれています。このような背景を受け、施行されたのがこの法律です。
中国サイバーセキュリティ法は日本の改正個人情報保護法や欧州のGDPRと同様、個人データも対象となっていますが、違う側面もあります。第一条に「サイバースペースにおける主権と国家の安全及び社会の公共利益を維持」と記されている点からもわかる通り、国策や国防の観点で「国家によるサイバー空間に対する監督強化」の側面がとても強くなっています。
そして当然ながら法規制である以上、対象組織はこれに沿って対策を進める必要があります。
どの組織が対象となるか
【中国サイバーセキュリティ法対象者】
つまり、「全ての個人・組織」とあることからわかる通り、中国でビジネスを展開する企業であれば必ず対象となります。
主な対象者はインターネットを介したオンラインサービスを提供する「ネットワーク運営者」であり、通信、情報サービス、エネルギー、交通、水資源、金融、公共サービス、電子行政などの「重要情報インフラ事業者」が一番重い義務を課せられる対象となっています。
対象者に課せられる主な義務
前述した3つの組織に対し課せられる義務は異なりますが、中国サイバーサイバーセキュリティ法は技術的な対策を事細かく規定したものではありません。また、規制事項と罰則が対となる形で記載されており、主だった内容を抽出すると以下の通りです。
【全ての個人・組織】
【ネットワーク運営者】
【重要情報インフラ運営者】
【全ての個人・組織】
| 主な業務 | 罰則 | ||||||
|---|---|---|---|---|---|---|---|
| 条例番号 | 内容 | 条例番号 | 内容 | ||||
| 第12条 |
|
第70条 | 第12条第2項、その他の法律、行政法規で公表又は伝送が禁止されている情報を公表又は伝送した場合、関連の法律、行政法規の規定に従って処罰 | ||||
| 第44条 | 窃盗又はその他不法な方法により個人情報を取得禁止、及び個人情報を不法に売却又は不法に他人への提供の禁止 | 第64条 | 公安機関が違法所得を没収し、違法所得の1倍~10倍以下の制裁金。違法所得がない場合は、100万元以下の制裁金 | ||||
| 第46条 | 詐欺、犯罪方法の伝授、違法・使用禁止物品、規制対象品の制作又は販売等の違法・犯罪活動に用いるためのウェブサイト、通信グループを設けてはならず、ネットワークを利用し、詐欺の実施、違法・使用禁止物品、規制対象品の制作及びその他の違法・犯罪活動にかかわる情報の公開禁止 | 第67条 | 公安機関が5日未満の拘留、1万元~10万元以下の制裁金。情状が重大な場合、5日以上15日以下の拘留、5万元~50万元以下の制裁金。ウェブサイト、通信グループを閉鎖 組織・機関に前項の行為がある場合、公安機関が10万元~50万元以下の制裁金。直接責任を負う主管者及びその他直接の責任者に対して前項の規定に従って処罰 |
||||
| 第48条 | 送信する電子情報、提供するアプリケーションソフトウェアに悪意のあるプログラムを設置の禁止 | 第68条 | 是正命令、警告、違法所得を没収。是正を拒絶した又は重大な場合は、10万元~50万元以下の制裁金。関連業務の一時停止、営業停止・粛正、ウェブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消し。主管者、その他の直接の責任者に1万元~10万元以下の制裁金 | ||||
【ネットワーク運営者】
| 主な義務 | 罰則 | ||
|---|---|---|---|
| 条例番号 | 内容 | 条例番号 | 内容 |
| 第21条 |
|
第59条 | 1万元以上10万元以下の制裁金。直接責任を負う主管者に対しては、5,000元以上5万元以下の制裁金 |
| 第24条 | 一部のサービス(インターネット接続、固定電話、モバイル電話等のインターネット接続関連のサービス等)を提供する者は、ユーザと契約を締結する等の場合に、ユーザに対して真正な個人情報の提供を要求 | 第61条 | 5~50万元の制裁金及び業務停止、Webサイト閉鎖、営業許可の取消し、直接の責任者個人に対する1~10万元の制裁金 |
| 第25条 | ネットワークセキュリティに関する緊急対応策の制定 | 第59条 | 1万元以上10万元以下の制裁金。直接責任を負う主管者に対しては、5,000元以上5万元以下の制裁金 |
|
第28 |
公安機関、国家安全機関が国家安全を維持する活動を行う場合や犯罪捜査を行う場合に、技術サポート及びその他の協力の実施 | 第61条 | 5~50万元の制裁金及び直接の責任者個人に対する1~10万元の制裁金 |
| 第40条 | その収集したユーザ情報を秘密として厳格に保持し、ユーザ情報保護制度を構築、整備 | 第69条 | 是正命令、それを拒否した又は重大な場合は、5万元~50万元以下の制裁金。直接責任を負う個人には1万元~10万元以下の制裁金 |
| 第41条 | ユーザの個人情報を収集・使用する場合には、収集・使用に係る規定を公開、個人情報の収集・使用の目的、方法及び範囲を明示し、個人情報の主体からの同意取得 | 第64条 | 是正命令、警告、違法所得の没収、違法所得の1~10倍の制裁金(違法所得がない場合は100万元以下の制裁金)、直接の責任者個人に対する1~10万元の制裁金。重大な違反である場合は、業務停止、Webサイト閉鎖、営業許可の取消 |
| 第42条 | 収集した個人情報を漏洩、改ざん、破損、また、被収集者の同意を得ずに第三者への個人情報の提供の禁止 | 第69条 | 是正命令、それを拒否した又は重大な場合は、5万元~50万元以下の制裁金。直接責任を負う個人には1万元~10万元以下の制裁金 |
| 第49条 |
|
第69条 | 是正命令、それを拒否した又は重大な場合は、5万元~50万元以下の制裁金。直接責任を負う個人には1万元~10万元以下の制裁金 |
【重要情報インフラ運営者】
| 主な業務 | 罰則 | ||||
|---|---|---|---|---|---|
| 条例番号 | 内容 | 条例番号 | 内容 | ||
| 第12条 |
|
第70条 | 第12条第2項、その他の法律、行政法規で公表又は伝送が禁止されている情報を公表又は伝送した場合、関連の法律、行政法規の規定に従って処罰 | ||
| 第44条 | 窃盗又はその他不法な方法により個人情報を取得禁止、及び個人情報を不法に売却又は不法に他人への提供の禁止 | 第64条 | 公安機関が違法所得を没収し、違法所得の1倍~10倍以下の制裁金。違法所得がない場合は、100万元以下の制裁金 | ||
| 第46条 | 詐欺、犯罪方法の伝授、違法・使用禁止物品、規制対象品の制作又は販売等の違法・犯罪活動に用いるためのウェブサイト、通信グループを設けてはならず、ネットワークを利用し、詐欺の実施、違法・使用禁止物品、規制対象品の制作及びその他の違法・犯罪活動にかかわる情報の公開禁止 組織・機関に前項の行為がある場合、公安機関が10万元~50万元以下の制裁金。直接責任を負う主管者及びその他直接の責任者に対して前項の規定に従って処罰 |
第67条 | 公安機関が5日未満の拘留、1万元~10万元以下の制裁金。情状が重大な場合、5日以上15日以下の拘留、5万元~50万元以下の制裁金。ウェブサイト、通信グループを閉鎖 | ||
| 第48条 | 送信する電子情報、提供するアプリケーションソフトウェアに悪意のあるプログラムを設置の禁止 | 第68条 | 是正命令、警告、違法所得を没収。是正を拒絶した又は重大な場合は、10万元~50万元以下の制裁金。関連業務の一時停止、営業停止・粛正、ウェブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消し。主管者、その他の直接の責任者に1万元~10万元以下の制裁金 | ||
このなかで特徴的なものをピックアップしましょう。
- 21条:一般的なネットワーク施策の実施
ネットワーク運営者を対象として、規程類の整備、責任者の任命、ログの6ヶ月以上の保存、データバックアップと暗号化の実施など、IT関係者であれば馴染みのあるルールが並んでいます。また、重要インフラ事業者には第34条として責任者のバックグランド審査も求められています。
- 第28条、第35条:当局が実施する安全審査の通過
ネットワーク製品又はサービスを提供する場合、国が実施する安全審査を通過する必要があるとされています。また、国家安全保障や犯罪捜査において、当局に対して技術的支援を提供し、協力することが求められます。
- 第37条:データローカライゼーションの遵守
原則として、中国国内にて収集、又は生成した個人情報や他の重要データは、国内に保持しなければなりません。ビジネス上の理由で、これらのデータを国外に移転する際には、監督当局への報告と、当局によるセキュリティ評価を受けることが求められます
施行後の動き
実際に罰則・罰金を受けた企業が多く存在します。ある事業者は、セキュリティ措置を講じずサイバー攻撃を受け、その内容を当局に報告しなかったこともあり、組織として1万元、責任者に5万元の制裁金が課されました。
また、インターネット電話サービス事業者は、サービス提供にあたり事前にユーザの身元を確認することを怠ったとして、5万元の制裁金、及びサイト閉鎖命令を受けています。その他にも是正措置命令を受けた組織が多数あります。
また、模範を示す意味もあるのか、監督当局は、WeChat(中国版SNS)など、約10社の大手企業に対しプライバシー・ポリシーの調査を行い、その結果、以下の内容を含む個人情報保護提案書への署名依頼を行っています。
- ユーザがその個人情報をどのように収集、処理、又は利用するのかを知り、且つそれらをコントロールする権利を有することを尊重すること
- ユーザから十分な同意を得ること
- ユーザの個人情報のセキュリティを確保すること
- 安全で信頼できる製品・サービスを提供すること
- 個人情報の安全保護を向上させるために継続的に努力すること
- プライバシー・ポリシーの改善を更に進めること
日本企業への影響
もともとインターネットの接続口を絞っている中国では、中国国内からFacebookにつながらないなど非常に厳しい統制を敷いていました。今回の法規制でより一層統制が厳しくなることは容易に想像できます。また、内容も解釈によって大きく変わる面があることは否めません。特にデータローカライゼーションというデータの持ち出しの制限や、監督官庁が製品やサービスに審査を行う権限を有する本法律は、ともすれば中国国内における日本企業の製品・サービスの競争力を阻害することにもなりかねません。
まだ施行したばかりであり、今後の是正や改善命令等の統制事例を注意深く見守る必要があります。
