サイバーセキュリティ法への日系企業の対応

サイバーセキュリティ法は①ネットワーク情報の内容の管理②サイバーセキュリティの等級保護③重要な情報インフラ（CII：Critical Information Infrastructure）の保護④個人情報と重要なデータの保護⑤越境データの評価と現地化保存の五つの領域から構成され、日系企業のような外資系企業にとって重要となるのは⑤越境データの評価と現地化および②サイバーセキュリティの等級保護となります（＜図1＞参照）。

1. 越境データの評価と現地化

データの越境に係る評価は、主に個人情報と重要情報を対象としており、個人情報の国外持ち出しについては、個人情報の主体が同意しない限り、個人情報の中国国外への持ち出しは禁止されています。従って、従業員情報や顧客情報を中国国外で保存しようとする場合は、個々に本人からの同意を取得する必要がある点に留意が必要です。また、有害化学物質の生産・保管をしている企業は、工場の平面図、化学品保管の建物の分布、倉庫面積等が重要情報に該当する可能性があることから、本社と情報共有を行う場合は事前にセキュリティ評価プロセスを経る必要がある点に留意が必要です。

2. サイバーセキュリティの等級保護

サイバーセキュリティの等級保護とは、国や組織の重要情報を保存・転送・処理する情報システムに対し、後述する等級に応じてセキュリティ保護を行わなければならないという規定になります。等級保護の対象となるものは主に、情報システムや工業システムなどになります。これら等級保護評価の対象となる情報システム、工業システムには大量の個人情報や重要なデータが保存されているため、情報漏えいなどが生じた場合、国や国民に一定の危害を及ぼすと考えられています。19年5月に等級保護に関する規定が改正され要求事項が引き上げられており（等級保護2.0）、12月から施行されています。等級保護規定においてはサイバーセキュリティ事故ないし情報漏えい事故が発生した場合に社会に対する影響の範囲が大きいほど、また、損害の程度が深刻なほど等級が高くなり、「第三級」以上の評価となった情報システムに対しては年1回の測定評価が必要となります（＜表1＞参照）。

企業がサイバーセキュリティ法の規定に違反した場合、処罰を受ける可能性があります。例えば、業務の一時停止や罰金（企業の場合、最高で百万人民元）および管理者に対する個人責任の追及の可能性があります。個人責任は罰金および拘束（最大で15日間）の可能性があります。

中国政府は諸外国の制度を熱心に研究していることから、もともとルールや規則が存在していなかった領域に突如として最新の制度が整備されるという特徴があります。従って、数年前の理解に基づき先入観をもって中国のビジネス環境を理解しようとすると、最新の規則・制度との間で大きな乖離（かいり）が生じている可能性があります。また、中国のサイバーセキュリティ法は国家の安全、国民生活、公共の利益を保護することを目的としていることから、他の国では当然行えると考えられる化学工場の見取り図等の本社との共有に一定の制限がある点に留意が必要です。
サイバーセキュリティに関しては、今後も継続的に制度改正が予想されていることから、常に最新の情報・法改正を把握できる体制を構築しておくことが望まれます。さらに、前述した等級保護制度については、国の指定した機関から認証を受けなければならないため、制度が定める認証プロセスを現地子会社が適切に履行しているかを確認しておくことが、コンプライアンスの観点から重要になります。