前編：法的論点の整理と、日系進出企業の課題解決を中心に (2019年1月31日 大阪)

2.現地日系企業の対応状況

宮岡 現地の日系企業について、対応状況はいかがでしょうか。

松本弁護士 私自身、中国で仕事をしていますが、中国に進出している全ての日系企業が適切に対応しているかというと恐らくそうではないと思います。一方、当方に全く相談がないわけでもなく、中国サイバーセキュリティ法に関して自分たちが何をすべきなのか、そもそも重要情報インフラ運営者にあたるのか、あるいは一般のネットワーク運営者なのか、そういった相談はあります。ただ、細かいデータのことは法律家では分からない部分もあります。その場合、外部のITセキュリティ専門家に依頼しアセスメントという形でやっていただくことはあります。

宮岡 中国サイバーセキュリティ法対応について、IIJの中国側及び、日本側への日本企業からの問い合わせ状況はいかがでしょうか。

李 2018年10月頃から相談件数は急激に増えています。中国サイバーセキュリティ法のアセスメントの一環で、日系企業複数の対応状況を調査する案件があり、その結果に少し驚きました。B to C業界の6-7社が、早い企業では2018年10月1日、遅い企業でも2019年1月1日付けで、Webサイトの約款を中国サイバーセキュリティ法の個人情報保護に関する要求を意識して改訂されていました。以前はセキュリティ事故などで過去に苦い経験をした企業のみが事後対応として対策を実施していましたが、最近中国当局による取締りが強化されるなか、積極的に事前対応している企業が増えており、現地の日系企業全般の意識が高まっているようです。

3.国外持出規制

宮岡 IIJにも問い合わせの多いデータの越境移転への対策について、松本先生よりコメントいただけますでしょうか。

松本弁護士 一般のネットワーク運営者か、重要情報インフラ運営者かで対応が変わってきます。ネットワーク運営者の場合は現在意見募集稿中ですが、今後どうなるか分からない状況です。重要情報、個人情報が一切持ち出せないという状況ではなく、むしろ社内のITセキュリティ体制の強化を行う必要があります。個人情報であれば個人の同意を得た上で、高度なプライバシーに関わるものかどうかの検討、重要情報であれば国家の安全に関するものかどうか、それをきちんと判断するプロセスができているかが非常に重要になります。仮にこれができていない場合は、当局からペナルティを受ける可能性があります。

宮岡 日本本社にとって、中国拠点は数ある海外拠点の1つであり、本社として海外拠点のガバナンス強化にどのように、そしてどこまで取り組むべきかが重要課題になると思いますが、実効性という観点から、日本本社にとって実務上留意すべきポイントがあればお聞かせください。

李 実効性について2点あります。1つ目は積極的な事前対応の重要性、2つ目はこの法律におけるITセキュリティ対応の重要性です。まずインターネットは技術変革が激しい分野であり、このためデータの取扱い方法も変動していきます。法対応のみに終始すると、技術変革のスピードに伴い現場の実情も刻々と変動するため、法対応と現場実務に乖離が生じ、コンプライアンス上のリスクは払拭できないままとなってしまいます。このような背景もあり、取締り活動などから得られる教訓も踏まえて、中国当局は法律を改訂し続けることがあり、いつまで経っても法律が最終的には確定しない状況も考えられます。このため、法律の準拠性だけでなく、業務プロセスについてコンプライアンス上問題が無いかという点も注視して、日本本社には対応いただいた方が良いかと思います。

宮岡 松本先生は上海に9年いらっしゃって、現地日系企業からの生の声を肌で感じておられると思いますが、中国現地側と日本本社側の取組み姿勢について温度差は感じられますか。

松本弁護士 日本側で法務を全て担っている場合では、本社の方がすごく気にかけていて中国現地があまり気にしていないというケースがあります。その逆もありますがその企業によります。私の方にご相談いただくのは中国現地法人が6、7割と多く残りが日本本社側という感じです。

宮岡 GDPRでは、2019年1月末にGoogleへの巨額制裁金事例発生などもあり、今後の動向に多くの日本企業が注目していますが、数年前はGDPRも現在の中国サイバーセキュリティ法と同じ状況でした。中国サイバーセキュリティ法も今後制裁事例が出てきて日本企業に積極対応が求められる可能性もあるかと思います。多くの日本企業は、R&D、製造、販売、流通経路として中国を重視していると思いますので、今後当局による取締り活動がどうなるかは注目すべきポイントかと思います。

4.初期アセスメントの重要性

宮岡 初期アセスメントが重要ということで実際にIIJへの問い合わせも多いようですが、その背景は何かあるのでしょうか。

李 中国律師によれば、中国サイバーセキュリティ法はプロセス重視、GDPRでいうリスクベースアプローチがある程度許容されています。その場合、最初に明確にしないといけないのは、自社への法的・ITセキュリティ的要件です。具体的には、4つある法律（①個人情報及び重要データ越境転送セキュリティ評価規則、②情報セキュリティ技術データ越境転送セキュリティ評価ガイドライン、③セキュリティ技術個人情報セキュリティ規範、④サイバーセキュリティ等級保護条例）の、ネットワーク運営者、重要情報インフラ運営者、ネットワーク製品・サービス提供者、その他のなかで自社がどこに該当するか次第で、求められる越境転送における義務、ITセキュリティ面で満さなくてはならないレベル感がかなり変わります。その観点から自社の立ち位置を明確にすることが先決だと日系企業の担当者は考えているようで、これまでIIJに多くのお問い合わせがあるという状況です。

宮岡 内部監査には、準拠性監査とプロセス監査の2つがあります。準拠性監査は自社が各種法令や社内規定に従っているかどうか、YesかNo、白か黒かの世界で比較的判断基準は明確なものです。一方でプロセス監査は、判断基準が非常に定性的で、ファジーで流動的な現地法規制のなかで、初期アセスメント実施の際は何をベースにプロセス（内部統制）の有効性について検討・評価していくかが重要なポイントだと思います。そのあたりで松本先生からコメントございますか。

松本弁護士 どこまで行えばそれがOKなのかというところは比較的抽象的で曖昧なところもあると思います。ただ、ゼロですよ、全く何もしていませんということであれば、それはアウトになると思います。よって、「当社としてはこう判断して対応を行い、ここまでで足りていると思います」ということを提示できるような体制構築が実務的には重要です。

宮岡 それでは李さんの方からIIJの初期アセスメントと詳細アセスメント、アドバイザリサービスについて簡単にご説明いただけますでしょうか。

李 まず中国当局による抜打ち監査や取締り状況ですが、大きく二つのアプローチがあり、一つ目は企業にセルフアセスメントを義務付けるという自己評価を要求するアプローチ。二つ目は自社の立ち位置がネット安全等級保護制度の等級3～5となった場合、中国政府指定機関による認定資格取得を要求するアプローチがあります。この認定資格取得時のチェック方法は①リモート監査と②オンサイト監査の2種類があります。
リモート監査は、ネット警察またはネット警察の委託を受けた組織が、企業のITインフラに擬似攻撃をかけます。オンサイト監査は、実際に現地拠点のITシステムへの監査だけではなく、社員へのインタビューもあり、現状どのように対応しているのか、今後どのように対応しようとしているか、ドキュメンテーション（文書類）の提出を当局から求められます。このような取締り動向を勘案したうえで、IIJの初期・詳細アセスメントを説明いたします。
初期アセスメントは、自社組織の立ち位置の確認、順守すべき義務、現状とのギャップ認識（概要レベル）、次フェーズでの実行計画立案が主な目的です。その後の詳細アセスメントでは、自社組織の状況把握（詳細）、順守すべき義務、現状とのギャップ認識（詳細レベル）、暫定対策、恒久対策の実施計画立案が主な目的となります。
IIJビジネスリスクアドバイザリーサービスは、当社コンサルタントが各企業の個別事情に沿った単発コンサルティングを、よろず相談窓口的な立場で柔軟に実施し、対応時間に応じて課金するといった内容になります。詳細は当社までお問合せください。

(後編に続く)