KOBITブログ

GDPRに続いて、日本企業を悩ます中国サイバーセキュリティ法の施行

この記事は約 5分 で読めます。


決済アプリ等が普及した中国では情報セキュリティへの要請が高い

個人情報保護への規制強化が世界的に進んでいます。欧州ではGDPR(欧州一般データ保護規則)が2018年5月に施行されました。欧州市民の個人情報を取り扱う企業はいずれも、データを適切に取り扱う方針・プロセスの策定が義務付けられています。日本企業であっても、欧州圏内の個人の製品・サービスを提供している場合、GDPRの影響を受け、対策を怠って、個人情報が不正に利用した場合は、罰則が適用される恐れがあります。

中国でも2017年6月に中国サイバーセキュリティ法が施行されています。中国ではAlipayやWeChatといったアプリを使った決済や送金が普及してきたため、個人情報保護に対する要請が高まっているのです。2018年8月にはインターネット企業96社に不正アクセスがあり、30億件の個人情報が流出しました。中国政府による規制強化、当局による認証の義務付け、ネット接続遮断、公安当局への技術的支援といった要件が特徴です。

中国サイバーセキュリティ法は、重要情報インフラ運営者、ネットワーク運営者を主要な対象者としています。オンラインサービスを運営する企業はネットワーク運営者となり、規制対象です。また、通信・公共サービス・交通・金融・電子行政といった業態が重要情報インフラ運営者とされます。

日本企業であっても中国で事業を行うには、個人情報の取り扱いに注意が必要

中国でオンライン事業を営む日本企業は、個人情報の取り扱いに関する方針・プロセスを整備しなければなりません。まず、ユーザー情報を収集する際に、同意を得る体制を整える必要があります。ネットワーク接続等のサービスを提供する際には、身分証の提示が求められます。

中国で個人情報を収集した重要情報インフラ運営者は、中国国内のサーバーに個人情報を保存する義務があります。中国国内の個人情報を、日本国内のみで保存するのはサイバーセキュリティ法の違反となってしまいます。また、個人情報を中国国外へ移転する場合は、中国当局の規制に則り、安全評価を受けなければなりません。

サイバーセキュリティに危害を及ぼす被害をもたらし、かつ、当局からの是正に従わない場合、ネットワーク運営者は高額の罰金を科される場合があります。ネットワーク運営者の場合、最大10万元(約160万円)に及びます。重要情報インフラ運営者に対しては、その10倍の罰金に達します。

具体的には、セキュリティ評価の改善不備、ユーザーログの未保持、ウィルス対策の不備のようなものが罰則の対象となりました。中央政府、または地方政府から行政指導を罰金が科されたケースが報告されています。

グローバルな法規制と、当局の影響が強い中国固有の事情の双方を考慮に入れるべき

欧州のGDPRも、中国のサイバーセキュリティ法も、オンライン事業のグローバル化に影響されているため、その方針には似た点があります。個人情報を保護対象とし、個人からの同意を取得やデータの記録・移転に関する対策が求められます。また、データが越境する際にも、その対策が必須となります。情報セキュリティ対策も技術的な観点では同様です。

中国固有の要件としては、サイバーセキュリティ法が国家による指導の明確化を含む点にあります。大規模なデータ不正利用事故が発生した場合、中国当局からの指導が進む可能性が高いと言われています。既に、一部のWebサイトや大手ソーシャルメディアへの接続が制限されている現状では、安全保障の観点でサイバーセキュリティ法が制定されたと考えられています。

日本企業が中国で事業を行う場合、個人情報を保護する技術的・業務的な対策を施すと共に、中国当局からの要請も想定しておかなければなりません。2018年8月の調査では、85%の日本企業が対策を考えていないという状態です。当局の動向を注視し、常に最新情報を確認しておくようにしましょう。

まとめ

中国サイバーセキュリティ法は、ネットワーク運営者に個人情報の取り扱いや情報セキュリティ対策を求めます。当局からの指導や罰金が想定されるため、そのリスクは非常に高いにも関わらず、多くの日本企業は対策をとっていません。GDPRと同様、その最新情報を理解し、適切な対策を施す必要があります。


CATEGORY:
まずは無料ユーザー登録。
すぐに始められます。