中国サイバーセキュリティ法
サイバーセキュリティ等級保護制度の概要 (前編)
バックナンバー
index
2020/05/15
インターネット安全法(中国サイバーセキュリティ法)が施行されてからまもなく3年が経過しようとしています。施行開始当初は少なかった同法違反による処罰事例は、2019年から急激に処罰件数が増加しています。もちろん日系企業も例外ではありません。広く報道はされていませんが、皆さんもよく知る大手日系企業が処罰されたという話を、よく耳にしています。
これまで、法律の概要について多くのメディアやセミナーで解説がなされており、当社でも以前5回にわたって、概要や罰則・ガイドラインなどについて詳しく解説をしてきました。
しかし2019年12月、中国サイバーセキュリティ法の対策を進めるうえでもっとも重要な指針となる「サイバーセキュリティ等級保護制度」が正式発効しました。
該当保護制度(以降MLPS2.0)にまつわる国家基準の初回正式発表※1から、実行開始までわずか半年間しかなく、またMLPS2.0基本指針※2の公表まで遡っても、たった一年半程度という、中国立法史上極めて異例の速さで発効したことから、本制度に対する当局の重要視具合や期待度合いを垣間見ることができます。
※1:2019年5月13日に、MLPS2.0に纏わる数多くの国家基準のうち、ベースとなる3つのドキュメント(サイバーセキュリティ等級保護基本要求・サイバーセキュリティ等級保護評価要求・サイバーセキュリティ等級保護セキュリティ設計技術要求)が正式公表されました。
※2:2018年6月27日に正式公表された「サイバーセキュリティ等級保護条例(意見募集稿)」です。
該当制度は、情報システムで障害もしくは情報漏洩が発生した際に、システムを保有する主体含め、社会・国家へ及ぼす影響の広さ並びに深刻度合いによって、システムごとの重要性(等級)を定め、その重要性に応じて、しかるべきセキュリティ対策内容を定義し、管理するものです。
MLPS2.0の発効によって、当局の取り締まりも今後より強化されると予想されるため、企業はなるべく早い段階で該当制度に対応するべきでしょう。
そこで今回は、本制度について、前後編と2回にわたって、その概要と対応方法について解説します。中国弁護士による協力の元、筆者が関係法律法規の原文を読み解いた内容や、現地の専門家・当局担当者から入手した直接情報に基づくものです。前編ではサイバーセキュリティ等級保護制度と上位法規の関係性や、該当制度の概要・特徴を説明します。さらに後日公開予定の後編では、コンプライアンス実務や注意事項を取り入れながら解説します。
MLPS2.0の位置づけ
上位法規との関係性
「中国サイバーセキュリティ法」(以降中国サイバーセキュリティ法)本文第21条では、MLPS2.0について下記のように書かれています。
国は、サイバーセキュリティ等級保護制度を実施する。ネットワーク運営者は、サイバーセキュリティ等級保護制度の要件に基づき、次の各号に掲げる安全保護義務を履行し、ネットワークが妨害、破壊又は無許可アクセスを受けないよう保障し、データの漏えい又は窃取、改ざんを防止しなければならない。
(1)内部安全管理制度及び操作規程を制定し、サイバーセキュリティ責任者を確定し、サイバーセキュリティの保護に係る責任の所在を明確にする。
(2)コンピューターウイルス及びサイバー攻撃、ネットワークへの不正侵入等サイバーセキュリティを脅かす行為を防止するための技術的措置を講じる。
(3)ネットワークの運用状態、サイバーセキュリティ事件を監視し、規定に従って、少なくとも6か月間、関連するログファイルを保存する。
(4)データの分類、重要データのバックアップ及び暗号化等の措置を講じる。
(5)法律、行政法規が定めるその他義務。
法律の適用対象を全ネットワーク運営者※3としつつ、法律本文ではその主要責務やポリシーの記載のみに止まり、実行レベルの細則はMLPS2.0制度を持って補完するところから、中国サイバーセキュリティ法とMLPS2.0の強い関連性がうかがえます。上位法規によって実務レベルの制度を明示的に記載し、その制度の実施可能性は、さらに下位にある国家基準によって担保する体系になっています。
※3:中国サイバーセキュリティ法では、ネットワークの所有者、管理者、ネットワークサービスプロバイダの全てが「ネットワーク運営者」と定義されています。 言い換えれば、中国国内でコンピュータはじめ情報機器で構成された情報網を保有するほぼ全ての組織や企業がネットワーク運営者に該当することとなります。
MLPS2.0は中国サイバーセキュリティ法体系における強制力の伴う、「情報セキュリティ側面のフレームワーク」とも理解できます。図1は法令の種類別に、MLPS2.0の体系を当てはめたものとなります。参考程度までに、その前身である2007年に発足した「インフォメーションシステムセキュリティ等級保護制度」(以降、MLPS1.0)※4の体系も併記しています。
※4:インフォメーションシステムセキュリティ等級保護制度(MLPS1.0)は、国際的セキュリティ基準のコンセプトを借り受けた中国初めてのセキュリティ保護制度です。具体的には、OSIやCIAモデルを確立させたことで知られるISO 7498-2:1989 情報処理システム-オープンシステム相互接続-基本参照モデル-第2部:セキュリティアーキテクチャの同等規格であるGB/T 9387.2-1995並びに、ISO/IEC 15408:1999由来のGB/T 18336-2001そしてISO/IEC 17799:2000,MODをベースとしたGB/T 19716-2005の内容に基づくものであります。
図1 MLPS2.0 上位法規との関係性
コンプライアンス側面の位置づけ
全七十九条にもおよぶ中国サイバーセキュリティ法のコンプライアンス実務は、「1.情報セキュリティ」、「2.データ越境転送」、「3.個人情報保護」「4.コンテンツ管理・検閲」の、計4つの側面からアプローチする必要があります。
図2 中国サイバーセキュリティ法 コンプライアンス実務に纏わる四つの側面
そのうち2. ~ 4.いずれのコンプライアンス実務には、情報セキュリティ要件が含まれることから、「1.情報セキュリティ」つまりMLPS2.0に関連した対策は、中国サイバーセキュリティ法コンプライアンス実務全体において、最優先・最重要課題であることが分かります。
また、実施可能性の側面でもMLPS2.0は、施行済みの条例や国家標準が多く取り揃われ、体系としてすでに成立している状況です。そして緊急性観点からみた場合も、MLPS2.0制度の設計・施行・監督において公安当局の関わりが多い上、2018年の公安部第151号令では、公安当局は「MLPS2.0にまつわる義務履行状況に対し、能動的な監督検査を行う」責務※5があるとの内容があり、法令遵守を怠った場合は警察沙汰になるリスクを強く示唆します。なお、2019年後半以降、公安当局による取締が積極的に行われ、日系企業の経営トップがサイバー警察に呼び出されるケースも多数あったようです。
※5:「中華人民共和国警察法」第六条第十二項において、「人民警察はコンピュターインフォメーションシステムの安全を保障する責務がある」との記載があり、MLPS2.0の強制力を裏書きする内容として見受けられます。
なおMLPS2.0の内容から少し逸脱しますが、図2の1~4の番号は、中国サイバーセキュリティ法コンプライアンス実務の優先順位を表しているものです。いずれ前述MLPS2.0関係の内容と同様、外資系企業にとって、それぞれの側面における緊急度・実施可能性・影響度そして依存関係から考察した結果に基づくものであります。
四つの側面の内、「4. コンテンツ審査」とは、中国互聯網情報弁公室作成「インターネット情報コンテンツエコロジーガバナンス規定」に沿って、コンテンツの作成・複製並びにインターネットへの公開行為を行う組織や個人(いわゆるネットワークコンテンツ生産者)を対象に、その情報の中身(すなわち表現の内容)に対する確認・検査・管理などを義務づける実務内容です。中国でビジネスを行う上で非常に需要な側面ですが、一般的に外資系企業の発信する情報は、会社概要や事業領域・製品サービス紹介的なものが主要内容で、主要取締対象である政治的見解や信教関係の機微情報との関係性が薄いところから、対応の優先順位を繰り下げています。
「2. データ越境伝送」に関して、2017年早々に一部の実施細則が意見募集稿として公表され、正式発効はしていないものの、特定分野におけるいくつか取締事例の公表がありました。越境転送体制の立ち上げやインフラ環境の越境移設は、いずれも非常に大変な労力とコストが必要なのはいうまでもなく、仮に正式施行後の負荷を考えると、現状把握を含めた早期かつ計画的な検討をお勧めします。
中国国内では近年、国民の個人情報保護意識が向上しています。さらに、個人情報安全規範の頻繁な刷新、個人情報保護法の立法に向けた政府側の積極的な姿勢などを踏まえると、個人情報保護対応は外資系企業にとっても喫緊な課題に違いないと考えます。またこの分野における実施細則もすでに取り揃っているため、対応の優先順位的にMLPS2.0に続く第2位としています。
次節からは、本題であるMLPS2.0制度を解説します。
