Global Reachグローバル展開する企業を支援

MENU

コラム|Column

徹底解説:中国サイバーセキュリティ・個人情報規制

第1回:インターネット安全法及び関係法令の概要
(執筆主担当:弁護士 森 規光)

バックナンバー

2018/07/02

森・濱田松本法律事務所の3人の先生に、5回にわたって中国のサイバーセキュリティや個人情報規制について解説いただく連載コラムです。

1.はじめに

中国の全国人民代表大会常務委員会は、2016年11月7日、インターネットの安全管理に関する事項を全面的に規範化した法令として、「インターネット安全法」(原文:网络安全法)を公布しました。同法は、2017年6月1日から施行されています。中国政府は、これまでにもインターネットに関連する各分野(例えば、広告、出版、アプリ、ニュース情報サービス等)(※1)において個別に法令や規則を制定してきましたが、インターネット安全法は、中国のサイバーセキュリティ分野における初めての基本法となります。
インターネット安全法の施行から約1年が経過し、インターネット安全法に基づく処罰事例も散見されますが、後述するとおり、同法の細則を定める下位規則やガイドラインは未だ整備されておらず、必ずしも本格的に運用されているとはいえません。そのため、今後、インターネット安全法の本格的な運用を受けて、中国においてインターネットや個人情報保護に関する規制がさらに強化されることが予想されます。
そこで、「中国サイバーセキュリティ法・個人情報保護規制特集」として、インターネット安全法に基づくインターネット及び個人情報関連の規制、並びに企業の対応方針について全5回で解説をしていきます。
本稿第1回では「中国サイバーセキュリティ法の概要」と題して、サイバーセキュリティ分野の基本法であるインターネット安全法及び関係法令の概要を説明します。

※1:インターネット広告管理暫定規則(2016年9月1日施行)、モバイルインターネットアプリケーション情報サービス管理規定(2016年8月1日施行)、インターネット出版サービス管理規定(2016年3月10日施行)、インターネットニュース情報サービス許可管理実施細則(2017年6月1日施行)

2.インターネット安全法制定の背景

中国では近年、2014年4月に打ち出された「総合的国家安全保障観」の下で、国家安全法(2015年7月1日施行)や反テロリズム法(2016年1月1日施行)等の国家安全に関する立法を進めてきています。また、2016年12月27日に打ち出された「国家インターネット空間安全戦略」においては、サイバー空間も国家の重要な構成要素であるとし、サイバー空間の発展と安全について積極的に取り組む姿勢を表明しています。
また、中国におけるインターネットを巡る状況に目を向けると、国内インターネットユーザーの数は2017年末までに7.72億人に達し(※2)、インターネットは情報取得や通信の手段だけではなく、消費や娯楽など、人々の生活の隅々まで影響を及ぼすようになっています。例えば、中国ではAlipay(支付宝)やWeChat(微信)等のアプリを使ったキャッシュレス決済や個人間での送金が頻繁に行われており、2017年に携帯電話を使ったインターネット支払いを利用する人のインターネットユーザーにおける割合は68.8%(5.31億人)まで増加してきています(※3)。一方で、インターネットの急速な発展とともに、インターネット上における詐欺、個人情報の漏洩、誹謗中傷等の問題も多く発生しています。上記のようなキャッシュレス決済のアプリでは、個人の本名、携帯電話番号や銀行口座等の重要な個人情報が登録されていますが、そのような個人情報が漏洩、悪用されることとなった場合の被害は甚大で広範なものになり得ることは容易に想像ができます。
こうした社会情勢の中、サイバー空間の安全を保障し、サイバー空間における主権及び国の安全、社会の利益を保護し、公民及び法人の合法的権益を保護し、経済社会の情報化の健全な発展を促進することを目的として(第1条)、インターネット安全法は制定されました。

※2:第41回「中国インターネット発展状況統計レポート」
※3:同脚注2

3.インターネット安全法の適用対象

インターネット安全法の適用範囲は、中国国内においてインターネットを構築・運営・維持・使用する場合、及びインターネットの安全を監督管理する場合に適用されるとされています(第2条)。内資企業であるか外資企業であるかを問わず、また国外企業であっても、中国国内においてインターネットを利用して事業を行っている場合には、インターネット安全法が適用されることとなります。
現代においてはインターネットなしで事業を行うことは想定しにくいことから、中国で事業を行う日本企業に対しても基本的にインターネット安全法の適用があると考える必要があります。

4.インターネット安全法の概括

(1)インターネット安全法の全体像

インターネット安全法は、全7章79条により構成されています。各章の概要と主要なポイントをまとめると下表のようになります。特に重要なポイントは、インターネット運営者の責務等(主に第3章)及び個人情報保護関連規則(主に第4章)であり、その詳細については次回以降ご説明します。

インターネット安全法の全体像

項目(対応条文) 主要なポイント
第1章 総則
(第1条から第14条)
  • インターネット安全法の目的、適用範囲及び国家の理念その他の総則事項が規定されています。
  • 全ての個人及び組織を対象に、インターネットや国家の安全を脅かす行為を禁止する一般規定が置かれています。
    • いかなる個人及び組織も、インターネットの安全を脅かしてはならず、またインターネットを利用して国の安全、栄誉及び利益を脅かし、国家政権の転覆、社会主義制度の打倒を扇動し、国の分裂、国家統一の破壊を扇動し、テロリズム、過激主義を宣揚し、民族差別を宣揚し、暴力、猥褻、色情の情報を伝播し、虚偽の情報を捏造し、伝播して経済秩序及び社会秩序を乱し、並びに他人の名誉、プライバシー、知的財産権及びその他の合法的権益等を損なう活動に従事してはならない(第12条第2項)。
第2章 インターネットの安全の支援及び促進
(第15条から第20条)
  • 国の安全標準の確立義務、インターネット安全技術の開発支援、インターネットの安全に関する教育支援等が規定されています。
第3章 ネットワーク運用の安全 -
第1節 一般規定
(第21条から第30条)
  • インターネット運営者の責務及びインターネット製品及びサービスに対する国家標準への合致等の要求等が規定されています。
  • インターネット運営者の責務として規定されている主要な事項は以下のとおりです。
    • インターネット運営者の安全保護義務の履行(第21条)
    • インターネット実名制の実施(第24条)
    • インターネットの安全を脅かす事象に対する緊急対応策の制定(第25条)
    • 国の安全の維持のための捜査協力及び技術提供(第28条)
第2節 重要情報インフラ運用の安全
(第31条から第39条)
  • 重要情報インフラ運営者の責務が規定されています。その主要な事項は以下のとおりです。
    • 重要情報インフラ運営者の安全保護義務の履行(第34条)
    • インターネット製品及びサービスの調達時における国家安全審査の合格及び安全秘密保持協議書の締結(第35条、第36条)
    • 個人情報及び重要データの国内保存義務、及び国外移転の際の安全評価実施義務(第37条)
    • 年1回以上のインターネット安全リスクについての検査評価の実施(第38条)
第4章 ネットワーク情報の安全
(第40条から第50条)
  • 個人情報保護、インターネットの違法活動への利用の禁止等に関する事項が規定されています。
  • 個人情報保護に関して規定されている主要な事項は以下のとおりです。
    • インターネット運営者による個人情報の収集におけるルール(情報収集対象者の同意を含む。)(第41条)
    • インターネット運営者による個人情報の漏洩及び改竄等の禁止、並びに情報収集対象者の同意を得ない第三者への個人情報の提供の禁止(第42条第1項)
    • インターネット運営者の、個人情報の安全を確保するための技術的措置等の実施義務(第42条第2項)
    • 個人がインターネット運営者に対して、違法な個人情報の収集及び使用を発見した場合に削除を要求する権利(第43条)
第5章 監視、事前警告及び緊急対応処理
(第51条から第58条)
  • 国によるインターネットの安全監視及び事前警告等の制度の確立、リスクが増大した場合の安全措置、インターネットの安全を脅かす事象が発生した場合の緊急対応策等が規定されています。
  • 国は、国の安全にとって重大かつ突発的な事態が発生した場合には、国務院の決定を得て、特定の区域におけるインターネット通信を制限するなどの臨時措置ができるとされています(第58条)。
第6章 法律責任
(第59条から第75条)
  • 法令に違反した場合の罰則が規定されています。
  • 以下に罰則規定の例示として、インターネット運営者の安全保護義務違反、及び個人情報保護に対する侵害行為に対する罰則規定を記載していますが、罰則規定によっては、過料の制裁だけでなく、業務停止、ウェブサイトの閉鎖、営業許可証の廃止等を規定するものがあります。
    • インターネット運営者が安全保護義務を怠り、主管部門の是正命令を拒否し、又はインターネットの安全を脅かす結果をもたらした場合には1万元以上10万元以下の過料に処し、直接責任を負う主管者に対して5千元以上5万元以下の過料に処する(第59条第1項)。
    • 個人情報に対する侵害の場合には、主管部門が是正を命じ、情状に応じて警告、違法所得の没収、違法所得の同額以上10倍以下の過料、違法所得がないときは100万元以下の過料に単独で又は併せて処することができ、直接責任を負う主管者及びその他の直接責任者に対しては1万元以上10万元以下の過料に処する。情状が重いときは、併せて関連業務の一時停止、業務停止、ウェブサイトの閉鎖を命じ、関連する業務許可証を取り上げ、又は営業許可証を取上げることができる(第64条)。
第7章 附則
(第76条から第79条)
  • 主要な用語(インターネット、インターネット運営者、個人情報等)の定義規定及び施行日等が規定されています。

(2)インターネット安全法における重要な概念

上記の表から分かるように、インターネット安全法は、「インターネット運営者」及び「重要情報インフラ」の運営者の責務を中心に規定しています。そのため、これらに該当するか否かを検討することが、インターネット安全法に対する対応を検討する上で、第一に重要な点であるといえます。

(i)「インターネット運営者」の意義

「インターネット運営者」とは、「インターネットの所有者、管理者及びインターネットサービスの提供者のことをいう」とされており(第76条第3号)、広範な定義となっています。
そのため、インターネットプロバイダー等のようにインターネットサービスそのものを提供する企業だけではなく、電子商取引プラットフォーム等の営利性のあるインターネットサービスを提供する企業、さらにはウェブページを通じて対価なしに情報を伝達する等の非営利性のサービスを提供する企業も含まれる可能性があるといえます。
加えて、インターネット安全法における「インターネット」の定義は、「コンピュータ又はその他の情報端末及び関連設備で構成される、一定の規則及びプログラムに従い情報を収集し、保存し、伝達し、交換し、処理するシステム」とされていることから(第76条第1号)、例えば会社グループ内のイントラネットを運用している場合も、当該会社は「インターネット」を所有又は管理しているとして、「インターネット運営者」に該当する可能性があります。
そのため、自分たちの会社はインターネット関連会社でないから、インターネット安全法について対応する必要はない、と考えることはできません。一般の事業会社においても、インターネット安全法において定義される上記の「インターネット」を利用している場合には、「インターネット運営者」に該当するものとして、対策を検討する必要がある点に注意してください。
「インターネット運営者」はインターネットの安全保護義務を負い、また個人情報保護のための措置を講じる義務を負います。この点の詳細については、次回以降ご説明します。

(ii)「重要情報インフラ」の運営者の意義

「重要情報インフラ」とは、「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政等の重要な業界及び分野、並びにその他の機能が破壊され、喪失し、又はデータが漏洩すると国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある国の施設のことをいう」とされています(第31条)。この「重要情報インフラ」を運営する企業が、「重要情報インフラ」の運営者に該当します。
上記の規定だけでは「重要情報インフラ」の範囲は明確ではありません。しかし、「重要情報インフラ安全保護条例(意見募集稿)」(2017年7月10日公布)においては、「重要情報インフラ」に該当する企業として、以下の企業が例示されており、これらに該当する可能性のある企業は注意を要します(ただ、当該条例は意見募集稿の段階であり、正式版は公布されていないため、今後内容が変更される可能性があります。)。

①政府機関及びエネルギー、金融、交通、水利、衛生医療、教育、社会保険、環境保護、公共事業等の業界・分野の企業
②電信ネットワーク、ラジオ・テレビネットワーク、インターネット等の情報ネットワーク、並びにクラウドコンピューティング、ビッグデータその他大型公共情報ネットワークを提供する企業
③国防科学技術工業、大型設備、化学工業、食品・薬品等の業界・分野の科学研究生産企業
④ラジオ局、テレビ局、通信社等の新聞企業
⑤その他の重点企業

インターネット法において、「重要情報インフラ」の運営者は、通常の「インターネット運営者」よりも高度な安全保護義務を負い、かつ個人情報及び重要データの国内保存義務及び国外移転の際の安全評価義務等が課されます。この点の詳細については、次回以降ご説明します。

5.下位規則・ガイドラインの状況

インターネット安全法は、サイバーセキュリティに関する基本法の位置付けであり、同法に規定される一部のルールについては、下位規則やガイドラインによって具体化され、実務指針が示されることが予定されています。この点について、現時点で制定され、又は制定が予定されているインターネット安全法の下位規則・ガイドラインは下表のとおりです。
この表から分かるとおり、インターネット安全法の施行からすでに1年が経過している現在においても、ほとんどの下位規則・ガイドラインは意見募集稿(パブリック・コメント版)の段階であり、正式版は公布されておらず、当然のことながら施行もされていません。したがって、引き続き、これらの下位規則・ガイドラインの制定の動きを注視する必要があります。
インターネット安全法に基づく実務的な対応を検討する上ではこれらの下位規則・ガイドラインの内容が重要であるため、次回以降の説明においては、意見募集稿の段階の内容も踏まえて解説します。

インターネット安全法の下位規則・ガイドライン

規則名 個人情報及び重要データの国外移転における安全評価規則(意見募集稿)
公布日 2017年4月11日
概要 個人情報及び重要データの国外移転のルールや制限等を規定しています。意見募集稿しか公布されておらず、施行されていません。
規則名 ネットワーク製品及びサービス安全審査規則(試行)
施行日 2017年6月1日
概要 国の安全に関わる重要なインターネット製品及びサービスの調達における安全審査について規定します。施行済みです。
規則名 重要情報インフラ安全保護条例(意見募集稿)
公布日 2017年7月10日
概要 重要情報インフラの運営者の範囲及び当該運営者に課される安全保護措置の内容等を規定しています。意見募集稿しか公布されておらず、施行されていません。
規則名 データの国外移転に関する評価ガイドライン(意見募集稿)
公布日 2017年8月30日
概要 データの国外移転時の安全評価について評価プロセス、主要な評価項目、評価手法等の実務指針を規定しています。意見募集稿しか公布されておらず、施行されていません。
規則名 公安機関によるインターネット安全監督検査の規定(意見募集稿)
公布日 2018年4月4日
概要 インターネット安全監督検査の実施部門、検査の内容、方法、プロセス及び違法行為に対する法律責任等を規定しています。意見募集稿しか公布されておらず、施行されていません。
規則名 情報安全技術 個人情報安全影響評価ガイドライン(意見募集稿)
公布日 2018年6月11日
概要 企業による事業上取り扱う個人情報の安全影響評価に関する基本的な枠組み、方法及び手順等を規定しています。意見募集稿しか公布されておらず、施行されていません。


本間 隆浩

森・濱田松本法律事務所 東京オフィス パートナー 弁護士(日本国及び米国ニューヨーク州)

【経歴】
2006年東京大学法学部卒業
2013年コロンビア大学ロースクール修了
2013年Weil, Gotshal & Manges法律事務所(ニューヨークオフィス)にて執務(~2014年)
2014年森・濱田松本法律事務所上海オフィス一般代表(~2017年)

【主な取り扱い分野】
国際業務(中国・アジア法務)、M&A/企業再編、争訟/紛争解決


森 規光

森・濱田松本法律事務所 上海オフィス アソシエイト 弁護士(日本国及び米国ニューヨーク州)

【経歴】
2005年慶應義塾大学法学部卒業
2007年慶應義塾大学法科大学院修了
2011年経済産業省経済産業政策局産業組織課に出向(~2013年)
2015年コーネル大学ロースクール卒業
2015年Alston & Bird法律事務所(アトランタオフィス)にて執務(~2016年)
2017年中国上海交通大学中国語課程修了
2017年森・濱田松本法律事務所上海オフィス一般代表

【主な取扱分野】
国際業務(中国法務)、M&A、コーポレート・ガバナンス、労働法務


田中 浩之

森・濱田松本法律事務所 東京オフィス オブ・カウンセル 弁護士(日本国及び米国ニューヨーク州)

【経歴】
2004年慶應義塾大学法学部法律学科卒業
2006年慶應義塾大学大学院法務研究科修了
2013年ニューヨーク大学ロースクール卒業(競争・発明・情報法学修士)
2013年Clayton Utz法律事務所シドニーオフィスにて執務(~2014年)
2018年慶應義塾大学法学部法律学科非常勤講師

【主な取扱分野】
国内外の個人情報保護、EUの一般データ保護規則(GDPR)、営業秘密を含む情報管理、IT法務(システム開発、アプリ・ゲーム、サイバーセキュリティ等)、知的財産法