デロイトトーマツサイバーセキュリティ先端研究所が、2017年6月に施行された「中国サイバーセキュリティ法」の現状を解説。日本では「同法の存在自体がほとんど知られていない」ことに警鐘を鳴らした。
2017年5月に施行された改正個人情報保護法(個人情報の保護に関する法律)、そして2018年5月の施行を控える欧州連合(EU)による「GDPR(General Data Protection Regulation:EU一般データ保護規則)については、存在を知っており、対応済み、または対応の準備を進めている企業は多いことだろう。
では、2017年6月1日に施行された「中国サイバーセキュリティ法」はどうだろうか。
デロイト トーマツ リスクサービスが、2017年4月に国内106社へ行った調査によると、「中国サイバーセキュリティ法について、名前も内容も知っている」と回答した企業はわずか9.4%。その一方で、90.6%が「内容を知らない」、47.2%は「名前さえも知らない」と回答した。中には、今まで使えていたVPNが使えなくなったといった中国ネット規制の強化を耳にしたり、あるいは実感したりした人もいるだろう。しかし、この調査では回答者の約80%が中国で事業を行い、約76%が事業所や支所を構えているにもかかわらず、法対応を進めていくどころか、そもそも存在さえ知らない人も多いことが分かった。
中国サイバーセキュリティ法(中华人民共和国网络安全法)は2017年6月1日に中国で施行された法律だ。2017年7月14日にデロイト トーマツ サイバーセキュリティ先端研究所が行った説明会で登壇したデロイト中国のパートナー 薛梓源氏によると、同法の目的は「サイバーセキュリティの確保と中国のサイバー空間における主権の保全、そして中国の国家安全保障と公益の改善」であり、その条文の中で、サイバーセキュリティ保護体制、運用ルールの整備、個人情報保護などの取り組みを求めている。そして、法の範囲は「中国企業だけでなく、中国で活動したり、サービスを提供したりする外国企業にも及ぶ」(薛氏)のである。
具体的には、情報ネットワーク運営者、つまり、情報ネットワークを運用、構築している事業者には、セキュリティポリシーの策定、攻撃から保護するための対策やバックアップの取得といったセキュリティ運用体制の確立とともに、インシデントに備えた緊急対応計画の作成、個人情報保護の取り組みなどが求められる。また、基幹ネットワーク機器やセキュリティ製品には、中国国内の標準に準拠し、認定リストに記載されたものでなければ販売できず、また使用もしてはならないとも定めている。
中でもポイントとなりそうなのは、「中国国内で収集、生成した個人情報や重要データを、海外の機関・組織・個人に提供する“データの移転”を行う場合は、当局の監督部門による安全性評価(セキュリティアセスメント)を求める」とする項目だ。「50万人以上の個人情報が含まれている」かつ「データ量が1000GB以上である」場合に加えて、原子力、化学・生物学、防衛といった産業分野のデータ、脆弱(ぜいじゃく)性などのネットワークセキュリティに関する情報など、「国家安全保障や公共の利益に影響を与える可能性のある情報」を海外に移転する場合は、監督当局による監査を求めている。
ちなみに、通信、金融、公共サービス、エネルギー分野などの「重要インフラ事業者」は、こうした条件なく、原則として中国国内で収集、生成した個人情報や重要データは中国国内で保管しなければならず、もし海外へデータ移転を行う場合には、同様にセキュリティアセスメントを受ける必要があるとされる。また、その他にセキュリティ管理チームの整備、専門家によるサイバーセキュリティ教育や訓練の実施なども要求される項目となる。
Copyright © ITmedia, Inc. All Rights Reserved.