Global Reachグローバル展開する企業を支援

IIJ

コラム|Column

【新連載:山谷剛史の中国近未来解説】
第1回:中国網絡安全法(中国サイバーセキュリティ法)で何が変わるのか

2017/07/10

法律の施行が続く中国

「中国網絡安全法(中国サイバーセキュリティ法)」が全国人民代表大会常務委員会により昨年11月7日に公布、2017年6月1日施行された。さらに今年の4月11日には、国家互聯網信息弁公室が「中国網絡安全法」と「中国国家安全法」をもとに「中国個人信息和重要数据出境安全評価方法(中国個人情報データ持ち出し安全評価法)」のドラフト版を発表し、パブリックコメントの募集を行った(5月11日に終了した)。こちらの施行はもう少し後となる。権威ある機関が、在中国外資企業にも影響を与える複数の法律の制定・公布・施行を進めている。

中国網絡安全法とその背景

中国網絡安全法(著者撮影)

まず中国網絡安全法についてだが、これは中国国内における個人情報の保護、国防目的の実名制登録実施(ハンドルネームは使用可能)、ネットサービス運営責任の明確化、基幹ネットワークの保護、重大事件発生時には国務院だけが通信管制可能となること、セキュリティ体制の強化などを主に挙げている。
これは中国国内の公共サービスやエネルギー、交通、金融、インフラ、ECサイト、各種情報サービスなどの情報漏洩を防ぐことで、国家セキュリティの保護強化を目的としたものといえる。そのためにネットワーク管理者に対し、同法に基づいたセキュリティ強化を求めている。

中国は同国のインターネット黎明期から、国境のような網境を用意し、中国のインターネット環境は中国自身で管理するという「ネット主権」が提唱され、強化されてきた。特に浙江省烏鎮で近年行われるようになった「世界互聯網(インターネット)大会」において、目立ってネット主権を提唱するようになった。

こうした背景から、中国網絡安全法施行以前から、実質的に中国国内でサーバーを活用しないと中国向けにサービスが活用できなかった。過去にはGoogleやAppleが中国向けサーバーを中国国内に設置した(Googleはその後、検閲を受け入れられないとして検索サービスは中国市場から撤退している)。またMicrosoftはWindows製品について、中国国外にフィードバックを送らないWindows 10 中国政府版をリリースしている。Android搭載のスマートフォンなどに当たり前のようにあるGoogle Playは中国向けスマートフォンでは存在せず、地場のアプリストアを利用する。

中国でネットサービスを運営する場合、サーバーを中国国内に設置するという前提で、個人情報などを持ち出さないということが中国網絡安全法の37条に書かれている。それには「中国国内で収集と生産した個人情報と重要データは中国国内に残さなければならない。国外にそれらを提供する場合は、国家網信部門、国務院の関係する部門にセキュリティに関するチェックをしなくてはならない」と書かれていて、個人情報や「重要な情報」については、チェックを行ったうえで持ち出せるという許可制となっている。

企業側としては、中国向けにネットサービスを提供する場合は、基本的に中国国内で利用者データを収集し、分析しなければならなくなったという点がまず挙げられる。また心配であれば企業として重要なデータを生み出すようなサービスをそもそも持ち込まないのがひとつの対応策といえる。

網絡安全法について37条以外では「セキュリティ制度の構築(21条)」「ネットワークログを6カ月以上保持(21条)」「認証されたネットワーク機器を利用(23条)」などが記されている。

中国個人信息和重要数据出境安全評価方法によって具体的に分かってきた事

この網絡安全法37条に絡んで、「中国個人信息和重要数据出境安全評価方法(中国個人情報データ持ち出し安全評価法)」が出たと前述した。この法律では、中国でのデータの取り扱いと適応対象範囲、重要データの概念、データ評価のポイント、海外に持ち出せないデータについてなどさらに細かく書かれている。

同法で前述の定義が曖昧にもみえる「重要なデータ」などの言葉の定義が出てくる。同法によると「重要データ」は、「国家安全、経済発展、社会公共利益に密接に関連するデータであり、具体的には関連する国家標準や重要データ識別指南を参照すること」と書いてある。また「個人情報」については個人が識別できる名前、生年月日、身分証明書番号、生体識別情報、住所、電話番号などの各種情報と定義。「データの海外への持ち運び」については、中国で収集・発生した個人情報や重要データを海外の個人や組織に送ることと定義している。

ここからは重要な条項を読んでいく。
7条は「ネットワーク運営者はデータを持ち出す前、組織自身でセキュリティの検証をすること」とある。この7条のデータ持ち出しのセキュリティ検証について、8条では具体例を出している。8条のデータ持ち出しの安全検証ポイントは
1)データ持ち出しの必要性
2)個人情報の数、範囲、種類、敏感度、同意を得たか否かなどのデータ状況
3)重要データについて。具体的には重要データの数、範囲、種類、敏感程度など
4)データを受け取る中国国外のセキュリティ状況やセキュリティに対するセキュリティ保護能力
5)中国国外にデータを持ち出した際のデータ漏洩、データ改ざん、データ濫用の危険性
6)国家セキュリティ、社会公共利益、個人の権益のリスクの有無
7)その他検証に必要な事項
となっている。

また9条では8条の条件にかかわらず、ネットワーク運営者は業界の管理部門や組織に安全検証をしてもらう必要がある。
1)50万人以上の個人情報
2)1000GB以上のデータ
3)核関連設備、化学生物、国防軍事、人口健康などの領域データや、大型プロジェクト、海洋、地理データなど
4)システムのセキュリティないしはセキュリティホールなど
5)基礎ネットワーク運営者情報
6)その他国家セキュリティや社会公共利益に影響する情報
と記されている。
続く10条では、安全検証は60営業日以内に終わらせること、12条では毎年データを持ち出しする際に少なくとも1度国家網信部門に報告する必要があるとしている。またデータ持ち出しの目的、範囲、数量、種類などに大きな変化がある場合、ないしは中国国外の送り先のセキュリティに問題があるとき再度安全検証を行う必要がある。

11条ではデータ持ち出し禁止のケースを紹介している。具体的には
1)本人の同意なき個人情報、ないしは個人の権利を侵害する可能性のある個人情報の持ち出し
2)中国の政治、経済、科学技術、国防などの安全にかかわるデータ
3)その他国家網信部門、公安部門、安全部門などの関連する部署が許可しないもの
としている。

中国個人信息和重要数据出境安全評価方法(中国個人情報データ持ち出し安全評価法)はドラフト版なので、中国網絡安全法の37条に書かれたデータ持ち出しについては、まだ本格的に機能することはないかと思われる。またドラフト版なので正式に施行する際は、変更がある可能性もある。もうしばらく新しい動向を見守る必要があるだろう。

山谷 剛史

1976年東京都生まれ。中国アジアITジャーナリスト。
現地の情報を生々しく、日本人に読みやすくわかりやすくをモットーとし、中国やインドなどアジア諸国のIT事情をルポする。2002年より中国雲南省昆明を拠点とし、現地一般市民の状況を解説するIT記事や経済記事やトレンド記事を執筆講演。日本だけでなく中国の媒体でも多数記事を連載。

page top