「中国サイバーセキュリティ法」施行のリスク

2017年5月に施行された改正個人情報保護法、そして2018年5月の施行を控える欧州連合によるGDPRについては、対応の準備を進めている企業は
多いことではないでしょうか。では、2017年6月1日に施行された「中国サイバーセキュリティ法」はどうでしょう。

デロイト トーマツ リスクサービスが、2017年4月に国内106社へ行った調査によると、「中国サイバーセキュリティ法について、名前も内容も
知っている」と回答した企業は僅か9.4％でした。一方で、90.6％が「内容を知らない」、47.2％は「名前さえも知らない」と回答しています。

この調査では回答者の約80％が中国で事業を行い、約76％が事業所や支所を構えている企業でした。そもそも存在さえ知らない人も多かったと
いうことになります。

中国サイバーセキュリティ法は2017年6月1日に中国で施行された法律で、2017年7月14日にデロイト トーマツ サイバーセキュリティ先端研究所が
行った説明会で登壇したデロイト中国のパートナー 薛梓源氏によると、その法律の目的は「サイバーセキュリティの確保と中国のサイバー空間における
主権の保全、そして中国の国家安全保障と公益の改善」であり、その条文の中でサイバーセキュリティ保護体制、運用ルールの整備、個人情報保護などの
取り組みを求めています。
そして、法の範囲は「中国企業だけでなく、中国で活動したり、サービスを提供したりする外国企業にも及ぶ」（薛氏）ということです。

具体的には、情報ネットワーク運営者、つまり、情報ネットワークを運用、構築している事業者には、セキュリティポリシーの策定、攻撃から
保護するための対策やバックアップの取得といったセキュリティ運用体制の確立とともに、インシデントに備えた緊急対応計画の作成、
個人情報保護の取り組みなどが求められます。

また、基幹ネットワーク機器やセキュリティ製品には、中国国内の標準に準拠し、認定リストに記載されたものでなければ販売できず、
また使用もしてはならないとも定めています。

中でも重要なポイントは、「中国国内で収集、生成した個人情報や重要データを、海外の機関・組織・個人に提供する場合は、当局の監督部門による
安全性評価（セキュリティアセスメント）を求める」とする項目です。

「50万人以上の個人情報が含まれている」かつ「データ量が1000GB以上である」場合に加えて、原子力、化学・生物学、防衛といった
産業分野のデータ、脆弱（ぜいじゃく）性などのネットワークセキュリティに関する情報など、「国家安全保障や公共の利益に影響を与える
可能性のある情報」を海外に移転する場合は、監督当局による監査を求めています。

通信、金融、公共サービス、エネルギー分野などの「重要インフラ事業者」は、こうした条件なく、原則として中国国内で収集、生成した個人情報や
重要データは、中国国内で保管しなければならず、もし海外へデータ移転を行う場合には、同様にセキュリティアセスメントを受ける必要があると
される。また、その他にセキュリティ管理チームの整備、専門家によるサイバーセキュリティ教育や訓練の実施なども要求される項目となる。

どのようにペナルティが科されるのかは不透明で、今後もその動向には注意しなければなりません。
同法は個人、法人ともに罰則の対象となるので、法令違反時の罰則は、関連する事業の一時停止、Webサイトの閉鎖、営業許可取り消しなどの他に、
行政処分や刑事処分、罰金が課される可能性があります。

こうした動きに、日本企業をはじめとする外国企業への悪影響、さらには中国当局によるサイバースペースの支配強化を懸念する声は上がっており、
更には中国サイバーセキュリティ法の存在自体が知られていないことが問題になってくることでしょう。

よく知らないまま、ある日突然法令違反で罰則を受けるといった事態に直面しないように、まずは存在を認識し、リスクを判断するように
してなければなりません。GDPRについては、危惧する企業が増えてきている中、中国サイバーセキュリティ法については、欧米の企業は
深い関心を示す中で、日本ではあまりにも話題になっていないのが現状です。