こんにちわ、ゲストさん

ログイン

遵守する以外に選択の余地なし 国境を越えるデータ伝送の法的制限に注意!(前編)

中国ビジネスレポート 法務
邱 奇峰

邱 奇峰

無料

2018年11月12日

概要

データのやり取りは、多国籍企業を正常に運営していくうえでの重要な条件であるが、あまりにも自由すぎるやり取りは、データのセキュリティ上、潜在的なリスクをもたらすことがある。この点、中国では「サイバーセキュリティ法」が、国境を越えるデータ伝送について原則的な規定を行っており、重要情報インフラ運営者(「CIIO」)に対し、当地での保存及びセキュリティ評価を求めている。「個人情報及び重要データの域外持ち出しセキュリティ評価弁法」においては、法令遵守義務者がCIIOからインターネット運営者にまで拡大されており、多くの在中国外資企業に影響することは必至である。

本文

■データの国境を越える伝送に関する中国の法規制体系

データに関する中国での現行の遵法体制は「サイバーセキュリティ法」をベースに構築されたものであるが、「サイバーセキュリティ法」の漠然とした規定だけでは法令執行の実務面で不都合がある。これについて、国の関連部門が相前後して、「個人情報及び重要データの域外持出セキュリティ評価弁法(意見募集案)」(「評価弁法」)及び「データ域外持出セキュリティ評価ガイドライン(意見募集案)」(「ガイドライン」)を公表した。よって、企業は、「サイバーセキュリティ法」に基づく国境を越えるデータ伝送に関する要求に従うほか、これから公表され、発効されるであろう「サイバーセキュリティ法」関連法規にも引き続き注意を払っていかなければならない。

■法規制の対象となるものは?

「サイバーセキュリティ法」も、「評価弁法」及び「ガイドライン」も、規制対象はいずれも個人情報及び重要データである。「個人情報の保護に関する法律に違反してはいませんか?——『個人情報セキュリティ規範』に関するFAQ」では、個人情報の範囲及びよくある事例を詳しく解説した。重要データは、つねに国の安全、経済発展及び社会の公共利益と緊密にかかわるものである。「ガイドライン」付録A-重要データ識別ガイドラインでは、重要データの分類及び主管部門について詳しく例を挙げており、企業はこの識別ガイドラインを参照しながら係るデータが重要データに該当するどうかかを判断することができる。また、地図データ、人口・健康情報、個人金融情報などのように一部の業界におけるデータは、すでに個々の関連法規で域外への持出が明確に禁止されている。

■法令遵守義務者となるのは誰か?

「評価弁法」では、法令遵守義務者が「インターネット運営者」にまで拡大されているほか、「~に準じて実施する」との要求も提起しているため、如何なる形態の企業も「評価弁法」における法令遵守義務者になり得る。「評価弁法」がひとたび発効すれば、それが企業にとってのコンプライアンス上の大きなプレッシャーとなることは間違いない。

法規 法令遵守義務者 具体的な規定
「サイバーセキュリティ法」 CIIO 第37条:重要情報インフラ運営者が中華人民共和国領域内での運営過程で収集し発生した個人情報及び重要データは、領域内で保存しなければならない。業務上の都合からどうしても国外へ提供する必要がある場合、国家インターネット情報部門、国務院の関係部門が共同で制定した弁法に従ってセキュリティ評価を実施しなければならない。法律、行政法規に特段の規定がある場合、その規定に従う。
「評価弁法」 インターネット運営者(+その他個人及び組織?) 第2条:インターネット運営者が中華人民共和国領域内での運営過程で収集し発生した個人情報及び重要データは、領域内で保存しなければならない。業務上の都合からどうしても国外へ提供する必要がある場合、本弁法に従ってセキュリティ評価を実施しなければならない。

第16条:その他の個人及び組織が中華人民共和国領域内で収集し発生した個人情報及び重要データの域外持出にあたってのセキュリティ評価作業は、本弁法に準じて実施する

注:「評価弁法」がパブリックコメントを募集した後、国家インターネット情報弁公室は提出された意見と合わせ、「評価弁法」(修正案)を公表した。修正案では、「領域内で保存しなければならない」及び「準じて実施する」という規定が削除されたが、最終案では、「準じて実施する」という規定が残されるのかどうかは明らかになっていない。

「ガイドライン」 インターネット運営者 本基準は、インターネット運営者による個人情報及び重要データの域外持出に関するセキュリティ自己評価、並びに国家インターネット情報部門、業界主管部門による個人情報及び重要データの域外持出に関するセキュリティ評価に適用する。

■CIIOとは誰か?

現時点で、「重要情報インフラ識別ガイドライン」はまだ制定段階にあり、また、現行の法律法規におけるCIIOの定義は広範すぎて、はっきりしない。しかしながら、一部重要業界の運営者(例えば、金融機構)はCIIOに該当することがすでに確定している。現在、企業は自身の特徴を踏まえ、以下の基準を参考にし、自身がCIIOに該当するかどうかを判断するとよい。

法規 具体的な規定
「サイバーセキュリティ法」 第31条 国の公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要な業界及び分野、並びに破壊、機能の喪失又はデータの漏えいに遭遇した場合、国の安全、国の経済と人々の暮らし、公共利益に重大な危害を与え得るその他重要情報インフラは、サイバーセキュリティ等級別保護制度を踏まえた上で、重点的に保護する。重要情報インフラの具体的な範囲及び安全保護弁法は国務院が制定する。
「重要情報インフラ安全保護条例(意見募集案)」 第18条 以下の組織によって運営、管理されるインターネット施設及び情報システムが破壊、機能の喪失又はデータの漏えいに遭遇し、国の安全、国の経済と人々の暮らし、公共利益に重大な危害を与えうる場合、重要情報インフラとして保護される範囲に組み入れなければならない。

業界別:具体的な規定
重要業界組織:
政府機関及びエネルギー、金融、交通、水利、衛生・医療、教育、社会保険、環境保全、公共事業などの業界・分野における組織
公共情報ネットワークサービス組織:
電子ネットワーク、ラジオ・テレビネットワーク、インターネットなどの情報ネットワーク、並びにクラウドコンピューティング、ビッグデータ及びその他の大型公共情報ネットワークサービスを提供する組織
科学研究生産組織:
国防・科学工業、大型設備、化学工業、食品薬品などの業界・分野での科学研究生産組織
ニュース組織:
ラジオ局、テレビ局、通信社などのニュース組織
その他の重点組織:-

「国家インターネット安全検査取扱ガイドライン」 ■重要情報インフラをウェブサイト系、プラットフォーム系及び生産・業務系に分けている。

ウェブサイト系:
党・政府機関ウェブサイト、企業・事業組織ウェブサイト、ニュースウェブサイトなど
プラットフォーム系:
インスタントメッセンジャー、ネットショッピング、オンライン決済、検索エンジン、電子メール、BBS、地図、音楽・動画などのインターネットサービスプラットフォーム
生産・業務系:
オフィス・業務システム、工業制御システム、大型データセンター、クラウドコンピューティングプラットフォーム、テレビライブ中継システムなど

■同ガイドラインでは、重要情報インフラを特定するための3つのステップを提起している。①本地域、本部門、本業界の重要業務を特定する(例えば、金融業界の重要業務は、銀行の運営、証券・先物取引、清算・支払、保険の運営)。 ②重要業務に関連する情報システム又は工業制御システムを特定する。 ③重要情報インフラの認定を行う。

後編に続く

ユーザー登録がお済みの方

Username or E-mail:
パスワード:
パスワードを忘れた方はコチラ

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内

最近のレポート

ページトップへ