中国サイバーセキュリティ関連法まとめ

セキュリティ業務のお悩み解決
2021.08.14

中国のセキュリティ関連法案が立て続けに制定されています。

・サイバーセキュリティ法(2017年)

・データセキュリティ法(2021年)

・個人情報保護法(2021年)

の3つです。

いずれの法案も中国で活動する日系企業にも影響がありますので、企業等で活躍している情報処理安全確保支援士の皆さんにもその対応について相談が来ているまたは来るのではないでしょうか?

そこで、本記事では、「サイバーセキュリティ法」、「データセキュリティ法」そして「個人情報保護法」に対して、日系企業が最低限、どのような対応が必要になるかをまとめました。

中国サイバーセキュリティ関連法に対して日系企業はどのような対応が求められるのか

日系企業にとって、気になる点はなんといっても、中国サイバーセキュリティ関連法への具体的な対応策ではないでしょうか?

日系企業の対応は、結論として企業が2級以上にあたるかどうかで変わります。

2021年1月に制定されたサイバーセキュリティ法の等級保護制度(MLPS2.0)(2019年12月発行)では、企業を1級から5級に分類しており、2級以上だと当局への申請が必要となります。

逆に言えば、1級であれば特段申請は不要ということです。しかしながら、その分類は各社で行うことができないため、分類については、当局への確認が不可欠ということになります。

重要情報インフラ事業者とは

重要情報インフラ事業者に指定される企業は、2級以上となります。

サービス:政府機関、エネルギー、金融、交通、水利、衛生医療、教育、社会保障、環境保護、公共サービス

ネットワーク:通信ネットワーク、ラジオおよびテレビネットワーク、インターネット、クラウド、ビックデータおよびその他の公共大型情報ネットワーク

科学技術:国防科学技術、大型機器、化学、食料、医薬品

マスコミ:ラジオ局、テレビ局、報道機関

中国セキュリティ3法には何が書かれているのか

サイバーセキュリティ法

2021年9月1日施行:データセキュリティ法

中国におけるサイバーセキュリティ法規制にかかわる対策マニュアル(JETRO)

cn-report_1910_2.pdf (jetro.go.jp)

データセキュリティ法

サイバーセキュリティの原文(ブラウザで翻訳可能)

中国政府のホームページ

中華人民共和国データセキュリティ法-中国ネットワーク (npc.gov.cn)

法律の構成

第1章 総則

第2章 データセキュリティの発展

第3章 データセキュリティ制度

第4章 データセキュリティの保護義務

第5章 行政が保有するデータのセキュリティと公開

第6章 法的責任

第7章 付則

となっている。

サイバーセキュリティ法における規制対象のデータは、サイバー空間におけるデータのみであったが、データセキュリティ法では、非電子的携帯の情報に対する記録も含まれている点が特徴的である。

企業に求められる主なデータセキュリティ保護義務

データセキュリティ法はデータ処理を行う企業や組織に対し、データセキュリティ管理制度の構築・整備によるセキュリティ保護を求めている。

特に重要データの処理者においては、データセキュリティ責任者と管理機関を特定し、データセキュリティの保護責任を具体化することも求めている。

セキュリティ対策、インシデント報告体制の確立、データ収集・使用に際しての合法性を求める一方、重要データの処理者については、規程に基づきデータ処理に対しての定期的なリスク評価実施と関係主管部門へのリスク評価報告提示を求めている。

データセキュリティ法関連サイト

中国、重要インフラの情報漏れ防止に新条例 9月施行: 日本経済新聞 (nikkei.com)

中国政府は17日、通信など重要インフラ施設のデータ保護を目的とした条例を9月1日に施行すると発表した。

情報の漏洩が国家の安全にかかわるため、インフラ運営者に専門の安全管理の仕組みなどの導入を求めた。

米中対立が先鋭化するなか、習近平(シー・ジンピン)指導部はデータの統制を強化する。

2017年に施行されたインターネット安全法(サイバーセキュリティ法)に基づくもので、重要インフラから情報の漏えいを防ぐために詳細な対応を求める内容となっている。

重要な情報を扱うインフラ:通信、情報サービス、エネルギー、交通、水資源、金融、公共サービス、電子政府サービスなど

具体的には、中国の国内外からの情報システムへのサイバー攻撃による侵入を防ぐための処置の実行が求められる。

インフラの運営者は情報インフラの安全管理を手掛ける専門機構や安全管理などの評価制度を設ける必要がある。

条例に違反してシステムに危害があった場合は50万元(約856万円)~100万元の罰金が科される。

問題点は、「重要データ」の定義が未定義であること。

JETRO

データセキュリティー法、9月1日から施行、データ越境移転の管理など規定(中国、世界) | ビジネス短信 – ジェトロ (jetro.go.jp)

BizRiz IIJ

【PR】中国 データセキュリティ法(草案)解説 | BizRis (iij.jp)

クラウドWatch 「データは国が管理」に 中国データセキュリティ法成立

【Infostand海外ITトピックス】「データは国が管理」に 中国データセキュリティ法成立 – クラウド Watch (impress.co.jp)

CLARA 中国データセキュリティ法の概要と義務とは

中国データセキュリティ法 (草案)の概要と義務とは – 中国ビジネスCOMPASS by クララオンライン (clara.jp)

note 最速レビュー!中国データ・セキュリティ法第二次草案のポイントと技術的対策

最速レビュー!中国データ・セキュリティ法第二次草案のポイントと技術的対策|ケンさん|note

個人情報保護法

中国サイバーセキュリティ3法で中国共産党が目指しているもの

中国サイバーセキュリティ関連法の解説動画

中国サイバーセキュリティ関連関連法に関する解説動画は、まだ殆ど無い状態ですが、アリババクラウドさんが以下の動画を掲載しています。

説明自体は、英語となっていますが、投影資料が日本語であり、日本語字幕もついているで十分に内容を理解することができます。

アリババが発信している情報ですので、かなり信頼性があるものとなっています。

中国におけるサイバーセキュリティ法および最新のセキュリティコンプライアンスにおける動向

中国におけるサイバーセキュリティ法および最新のセキュリティコンプライアンスにおける動向

関連記事 Office365の全世界導入。中国でも問題なく使えるの?

【PR】Office365の全世界導入。中国でも問題なく使えるの? | BizRis (iij.jp)

【2021年】セキュリティ・エンジニア向け転職エージェントランキング (kurage8.com)

以 上

スポンサーリンク

コメント

タイトルとURLをコピーしました