こんにちわ、ゲストさん
ログイン2022年3月18日
概要
「データセキュリティ法」が、2021年9月1日から正式に施行されている。「データセキュリティ法」では、データ、データの取扱、データセキュリティ等の定義を明確にし、国がデータの分類・等級別制度を構築することを明確にし、データ取扱者が負うべきデータセキュリティ保護義務等を規定し、企業のコンプライアンス管理について要求を新たに提起している。本稿は、主に企業コンプライアンスの視点から、「データセキュリティ法」の施行に伴う、企業のデータセキュリティ保護義務に着目して分析し、コンプライアンス面での助言を行うものである。
本文
■ 「データセキュリティ法」に係る定義及び解説
「データセキュリティ法」は、総則、データセキュリティと発展、データセキュリティ制度、データセキュリティ保護義務、行政データのセキュリティと開放、法的責任、附則といった7つの部分から成る。そのうち、総則の第三条において、データ、データの取扱、データセキュリティについて明確に定義している。
用語 |
定義 |
解説 |
データ |
電子的又はその他方式による、情報に対するあらゆる記録。 |
「サイバーセキュリティ法」[1]の保護対象は主に各種の電子データであり、「個人情報保護法」の保護対象は主に個人情報[2]であることとは異なり、「データセキュリティ法」の保護対象となるデータには、あらゆる方式により記録される情報が含まれる。従って、ビッグデータ、インターネット企業だけでなく、一般企業も「データセキュリティ法」に定められる義務を履行する必要がある。 |
データの取扱 |
データの収集、保存、使用、加工、伝送、提供、公開等を含む。 |
企業は自社の業務特性を踏まえ、企業の運営に係るデータの取扱活動を分析する必要がある。 |
データセキュリティ |
必要な措置を講じることで、データが有効に保護され、適法に利用されている状態にあることを確保するとともに、その安全な状態を持続的に確保できる能力を有することをいう。 |
企業が保障すべきデータセキュリティとは、データを取り扱う過程において、必要な措置を講じ、コンプライアンス管理を実施することで、データが有効に保護され、適法に利用される状態を確保するとともに、データの安全性が持続的に確保された状態にあるようにすることである。 |
■ 企業のデータセキュリティ保護義務
「データセキュリティ法」は、中国のデータ分野において「安全と発展の両方を重視し続ける」との原則を具現化したうえで、これに関連する制度、体制の構築に係る国の義務、並びに係る主管部門の職責を明確にしている。
「データセキュリティ法」第四章「データセキュリティ保護義務」においては、データセキュリティに係るデータ取扱者の義務を定めており、また第六章において、その法的責任を定めている。従って、企業が負うべきデータセキュリティ義務について、以下の通り整理している。
1.適法かつ正当にデータを収集し、データの等級を区分すること
「データセキュリティ法」第三十二条において、データの収集は、適法かつ正当な方法により行われなければならず、窃取又はその他不法な手段によりデータを取得してはならないことを明確に定めている。
ここで言う「適法かつ正当」とは、「データセキュリティ法」をはじめとして、「サイバーセキュリティ法」及び「個人情報保護法」等の法律法規の規定にも適合していなければならず、尚且つデータの収集は、合理的な目的の下に行われ、且つ権利者によって権限を付与された範囲内で行うものでなければならないことを意味している。
例えば、個人情報を収集するに際しては、原則として権利者の同意を得なければならず、業務上必要とされる個人情報のみを収集し、保存し、尚且つ収集するデータの種類、目的、方式及び保存期限等を分かりやすく告知しなければならない。
「データセキュリティ法」において、国がデータの分類・等級別保護制度を構築し、データについて分類・等級別の保護を実施することが初めて規定されたが、本法において、各地区、各部門は、国が定めたデータの分類・等級別保護制度に基づき、本地区、本部門及び係る業界、分野における重要データの具体的リストを確定し、リストに組み入れたデータを重点的に保護しなければならないことが明確にされている。
現時点では、一部の地区、業種において、データ保護分野についての規範性文書がすでに作成されているが、データの分類・等級別管理に係る要求もそれらの文書で体現されている。
例えば、深セン市人民代表大会常務委員会が2021年7月6日に公布した「深セン経済特区データ条例」。また、中国人民銀行が2020年9月23日に公布した「金融データセキュリティ データセキュリティ等級別ガイドライン」は、金融業界におけるデータ管理及び安全防護水準を指導するものである。
なお、データ保護分野は新興分野であるため、全国範囲、大部分の地区、部門及び係る業界を対象とした規範性文書はまだ作成中である。従って、企業は自社の業務特性を踏まえ、業界内のデータ分野に係る規範性文書の制定進捗状況に細心の注意を払っておく必要がある。
例えば、2021年9月30日、全国情報安全標準化技術委員会が、「サイバーセキュリティ実務ガイドライン――データ分類・等級別ガイドライン(意見募集案)」(以下、「データ分類・等級別ガイドライン」という)を作成し、パブリックコメント[3]を募集した。データ分類・等級別ガイドラインは、国家データセキュリティ管理の視点から、データ分類・等級別作業について検討し、データ分類・等級別の原則、枠組み及びルールを明確に示しており、企業がデータ分類・等級別保護作業を自主的に行う上で大いに参考になる。
データ分類・等級別ガイドラインの確定版及びその他の規範性文書が公布されるまでは、企業は自主的にデータの分類・等級分け作業を実施し、企業のデータ資産には、国家基幹データ[4]、重要データ[5]、個人情報[6]、機微な個人情報[7]、パブリックデータ[8]等が含まれているか否かを全面的に検査し、等級に応じて、区分管理を実施することにより、間もなく公布される各種の規範性文書に適切に対応できるようにしておく必要がある。
2.データセキュリティ管理制度を構築し、内部責任を遂行すること
「データセキュリティ法」において、全過程にわたるデータセキュリティ管理制度の構築、データセキュリティ教育研修の実施等、企業がデータ取扱活動を展開するに際して履行すべき義務が明確にされている。
企業はデータ取扱の各態様(収集、保存、使用、加工、伝送、提供、公開等)に応じて、内部安全管理制度及び取扱規定を制定し、書面にて企業データセキュリティ管理制度を確定しなければならない。
企業はデータセキュリティの定期的研修、新入社員を対象とした入社研修の実施、データセキュリティ学習メモの配布、企業のデータセキュリティ管理規範文書に係る勉強会を実施し、その際に当該文書の受領書に参加者からサインをもらっておくといった方法により、企業全体のデータセキュリティコンプライアンス意識の向上を図るようにしておくとよい(その際、例えば、研修資料、研修参加者名簿へのサインを参加者からもらっておく等して、実施した証拠を残しておくこと)。
また、企業はリスクモニタリングを強化する必要もあり、データセキュリティに係るリスクが発見され次第、救済措置を講じ、データセキュリティ事件が発生した場合、速やかに対処し、且つユーザへの通知、主管部門への報告を行わなければならない。
重要データの取扱いに係る企業は、データセキュリティを管理する機構及び責任者を明確にしなければならない。企業は専門の内設機構を新規に設立するか、又はデータセキュリティに係る職責を既存の情報、IT等の部門に割り当てることで、社内におけるデータセキュリティの責任が内設機構及び責任者個人において遂行されるようにするとよい。
また、企業はリスクアセスメントを定期的に実施した上で、リスクアセスメント報告書を係る主管部門へ報告、送付しなければならない。その報告内容には、取り扱っている重要データの種類、数量及びデータ取扱活動の展開状況、並びに直面しているデータセキュリティリスク及びその対応策等が含まれていなければならない。
また、データ取引仲介サービスを提供する企業においては、さらにデータの出処に係る説明をデータ提供者に要請し、取引双方に対するバックグラウンドチェックを行う必要もあり、その際、審査記録、取引記録等を残しておく必要がある。
3.エキスパートによる技術的措置を講じ、データリスクの軽減を図ること
制度制定、内設機構の調整、社員研修実施等のほか、データセキュリティを維持するために、企業は技術者を配置し、技術的措置及びその他必要な措置を講じておく必要もある。
「データセキュリティ法」では、係る技術的措置及び必要となる措置について規定をしていないが、企業は「サイバーセキュリティ法」等の法規及び係る国家標準の規定を参考にするとよい。
例えば、企業において等級保護義務を履行し、コンピューターウイルスやサイバー攻撃、ネットワークへの侵入等サイバーセキュリティに危害をもたらす行為を防止するための技術的措置を講じること、ネットワーク稼働状況、サイバーセキュリティ事件をモニタリングし、記録する技術的措置を講じること、重要データに対し、バックアップ及び暗号化等措置を講じるなど。
また、データの入力、処理、統計又はプリントアウトを実施している時に、ハードウェアの不具合、電源障害、システムダウン、人為的誤操作、プログラムの不具合等によるデータベースの破損、データの紛失、漏えい等が発生することのないよう、企業において複数の技術的手段(暗号化、データ・マスキング等)を組み合わせて導入することで、多方面からデータセキュリティを確保できる体制を構築しておくとよい。
4.データの越境移転に係る規制に注意を払い、また公安、国家安全機関によるデータの調査、収集に協力すること
「データセキュリティ法」第三十一条の規定によると、重要情報インフラ[9]の運営者が中国域内における運営過程において収集し発生した重要データの越境移転に係る安全管理については、「サイバーセキュリティ法」の規定を適用する[10]。
その他のデータ取扱者が中国域内における運営過程において収集し発生した重要データの越境移転に係る安全管理弁法は、国家インターネット情報部門が国務院の関係部門と共同で制定するとしている。
このため、その他のデータ取扱者においては、データ越境移転のコンプライアンス管理について、今後、新たに制定される法規の動向に引き続き注意を払っておく必要がある。
また、中国域内で保存するデータを企業から外国の司法又は法執行機構へ提供するに際しては、主管機関の承認を得なければならず、これを怠ると、行政処罰を受けることになる。公安、国家安全機関が法に依拠して国の安全を守るため又は犯罪捜査を行うために、企業からデータを調査取得する必要がある場合、企業はこれに協力しなければならない。
■ 終わりに
「データセキュリティ法」は、「サイバーセキュリティ法」、「個人情報保護法」とともに、中国におけるデータ保護分野の基本法になるものである。企業はデータのコンプライアンス管理において、そのうちの一つの法律だけに注目するのではなく、関係する法規、国家標準を総合的に、全面的に分析する必要がある。
社内におけるデータ保護に関する内部制度の構築、運用状況も、行政機関、司法機関が調査する際に、係る責任を企業に負わせるかどうかの判断要素になり得る。従って、企業は自社のコンプライアンス体制の改善を自主的に推し進めるようにしておくことは、企業の運営過程におけるデータリスクおよび法的リスクの軽減につながるであろう。
また、企業は各地区、各分野で公布される規範性文書(とりわけ重要データの具体的リスト)にも細心の注意を払い、自社の利益に関わる文書について意見募集が行われた際には、積極的に意見を出すようにする必要もある。
作者:里兆法律事務所 包巍岳 熊瀟(2021年12月10日)
[1] 「サイバーセキュリティ法」第七十六条 本法における以下の用語の意味:……(四)インターネットデータとは、インターネットを通じて収集、保存、伝送、処理、発生した各種の電子データをいう。……
[2] 「個人情報保護法」第四条 個人情報とは、電子又はその他方式により記録され、すでに識別された、又は識別可能な自然人に関する各種の情報をいう。それには、匿名化処理を行った情報は含まれない。……
[3] 詳細は、https://www.tc260.org.cn/front/postDetail.html?id=20210930200900をご参照のこと。
[4] 国家基幹データとは、国の安全、国民経済の生命線、重要な人々の暮らし、重要な公共の利益等にかかわるデータをいう。企業は国家基幹データに対してさらに厳しい管理制度を実施しなければならない。
[5] 通常、重要データとは、ひとたび漏えいされた場合、国の安全、経済の安全、社会の安定、公衆衛生と安全に直接、影響を与え得るデータをいう。例えば、未公開の政府情報、広大な面積における人口、遺伝子・健康、地理、鉱産資源等。重要データには、通常、企業の生産経営と内部管理情報、個人情報等を含まない。「データセキュリティ法」第二十一条の規定に基づき、各地区、各部門はデータの分類・等級別保護制度に基づき、本地区、本部門及び関連する業界、分野における重要データの具体的リストを確定する。
[6] 個人情報とは、電子又はその他方式により記録され、すでに識別された、又は識別可能な自然人に関する各種の情報をいう。それには、匿名化処理を行った情報は含まれない。例えば、自然人の氏名、生年月日、本人証明書番号、生体識別情報、住所、電話番号、電子メール、ヘルス情報、足取り情報等。また、個人情報には、機微な個人情報が含まれる。
[7] 通常、機微な個人情報とは、ひとたび漏えい、不法提供又は濫用された場合に身体及び財産の安全に危害をもたらす恐れがあり、個人の名誉、心身健康が害される又は不当な冷遇等を受けるといった状況が極めて生じやすい個人情報をいう。例えば、自然人の本人証明書番号、生体識別情報等。
[8] パブリックデータとは、通常、各級行政機関及び公共管理とサービス機能を果たす政府系事業組織が法により職務を履行する過程において、収集し、発生した各種のデータ資源をいう。
[9] 重要情報インフラは「ひとたび機能の破壊、喪失又はデータの漏えいに遭遇した場合、国の安全、国の経済と人々の暮らし、公共の利益に重大な危害を与え得る」といった特徴を有する。
[10] 「サイバーセキュリティ法」第三十七条によると、重要情報インフラの運営者が中華人民共和国領域内における運営過程で収集し発生した個人情報及び重要データは、領域内で保存しなければならない。業務の都合上、どうしても国外へ提供する必要がある場合、国のインターネット情報部門と国務院の関係部門が共同で制定した弁法に従って、セキュリティ評価を実施しなければならない。法律、行政法規に特段の定めがある場合、その定めに従うことになっている。
有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。
2024年8月20日
2024年7月19日
2023年9月6日
2023年6月28日
2023年5月24日