中国サイバーセキュリティ法施行に伴う影響

2017年5月に日本で改正個人情報保護法が施行され、また、欧州連合（EU）では18年5月に「GDPR（General Data Protection Regulation：一般データ保護規則）」が施行されており、IT化に伴う個人情報の保護は世界の潮流となっています。中国においても、16年11月に「中華人民共和国サイバーセキュリティ法（中华人民共和国网络安全法、以下、サイバーセキュリティ法）」が公布され、17年6月から施行されています。同法は、中国におけるサイバーセキュリティおよび個人情報保護について、包括的に定めた初めての基本法です。施行後1年以上経った現在でも関連する細則が完全には整備されておらず、その適用方法等について不明確な部分があることから、まだ本格導入とは言えませんが、今後の本格導入に伴い中国に進出している日系企業にも大きな影響を与えることが予想されます。
本稿では、同法の中でも特に日系企業の注目度が高いポイントに絞ってその概要を解説します。

1. ネットワーク運営者

主な適用対象者は、ネットワーク運営者（中国国内においてネットワークを確立、運営、維持、使用する企業）です。ここでネットワークとは、コンピュータ、その他の情報端末、および関連機器により構成され、一定のルールに従って情報の収集・保存・伝送・交換・処理を行うシステムと定義されています。いわゆるIT企業だけでなく、自社のウェブサイトを開設している企業、社内で電子メールを使用している企業も含まれるため、結果として中国において事業活動を行うほぼ全ての企業が適用対象となります。

2. 重要情報インフラ運営者

ネットワーク運営者のうち、重要情報インフラ運営者に該当する場合には、より厳格な義務が課せられています。ここで、重要情報インフラとは「公共通信、エネルギー、通信、金融、交通、公的事業等の重要産業の運営を支える情報システム／制御システムで、サイバー事故に遭遇した場合、国家安全、経済、科学技術、社会、文化、国防、環境、公共利益に重大な損害を与えるもの」と定義されています。具体的な対象範囲については、今後順次明確化されていきますが、「重要情報インフラ安全保護条例（意見募集稿）」においては、以下の企業が例示されていますので、該当する場合には注意が必要です。

以下は、サイバーセキュリティ法に関する主な六つのポイントです（＜表1＞参照）。なお、同法はすでに施行されていますが、関連する細則の多くは意見募集稿のまま最終化されていません。意見募集中の細則においてより厳しい要求がなされている場合があり、特に、サイバーセキュリティ法上は重要情報インフラ運営者のみに義務付けられている項目について、細則ではその適用対象が拡大されている場合があるため、今後の細則の動向に注意が必要です。

サイバーセキュリティ法が導入されてから1年以上が経ちますが、いまだ本格導入に至っていないことから、特段の対応をしていない企業も多く見受けられます。一方で、特にデータの越境制限や中国国内保存、個人情報保護に関する義務については、中国で事業を行う多くの外資系企業が大きな関心を寄せています。中国国外転送を前提としたデータが重要データに該当する場合は、越境に当たって安全評価が求められ、その結果リスクが高いと評価された場合には、国外への持ち出しが禁止されます。このようなケースでは、転送が禁止されたデータの内容によっては事業戦略に大きな影響を及ぼす可能性もあります。また、事業において個人情報を取得している場合、個人情報取得に際して、今後どのように対象者から同意を得ていくかは、実務上の課題となります。そのため、まずは現状分析を行い、現状とサイバーセキュリティ法とのギャップを洗い出すことによりリスクを把握するとともに、越境データ転送の安全性について自己評価をすることが望まれます。