コラム|Column

今回はインターネット安全法に基づいて求められるインターネットに関するセキュリティ対応についてご説明します。

1.「インターネット運営者」の責務

(1)セキュリティ対応の概要

第1回では、「国外企業であっても、中国国内においてインターネットを利用して事業を行っている場合には、インターネット安全法が適用される」とご説明しました。

インターネット安全法に基づく主な義務は「インターネット運営者」を対象としており、「インターネット運営者」に該当する場合にはインターネット安全法に基づいて一定の対応を行う必要があります。また「インターネット運営者」は広範に定義されており、一般の事業会社であっても、インターネットを利用して事業を行っている場合には(例えば、会社グループ内のイントラネット等を利用している場合も含むと考えられます。)、「インターネット運営者」に該当するものとして、対策を検討する必要があります。

a)インターネットの安全保護措置
インターネット安全法上、「インターネット運営者」はインターネットの安全(セキュリティ対応)のため、インターネット安全等級保護制度に従って、インターネットの安全保護措置を講じる義務を負います。インターネットの安全保護措置の具体的な内容は以下のとおりです(インターネット安全法第21条)。

  • 内部安全管理制度等の制定及びインターネット安全責任者の選任
  • ハッキング等のインターネットの安全を脅かす行為に対抗する技術的措置の実施
  • インターネット運用状態の監視及びそのログの6カ月間以上の保管
  • 重要データのバックアップや暗号化の措置
  • その他法律や行政法規で定める義務の履行

上記の「インターネット安全等級保護制度」とは、ネットワークの重要性に応じた保護等級(1級から5級。現時点においては、インターネット安全法に基づいた「インターネット安全等級保護制度」はまだ制定されていないため、各業界の管理部門が策定するガイドライン等によって定められています。)に従って、保護等級ごとにさらに具体的な安全保護措置を求める制度となります。

この点について、2018年6月27日、中国の公安部は、「インターネット安全等級別保護条例(意見募集稿)」(以下「安全等級別保護条例意見募集稿」といいます。)を公布して、インターネット安全法におけるインターネット安全等級保護制度の暫定的な内容を明らかにしました。当該意見募集稿の意見募集期限は2018年7月27日までとされておりますが、現時点では正式版は公布されていません。しかし、この意見募集稿の内容は今後制定される予定の正式版の参考になると考えられるため、その概要をご説明します。

まず、安全等級別保護条例意見募集稿では、インターネットの保護等級を以下の5段階に分けることとされています。

第1級 破壊された場合、関連公民、法人その他組織の合法的な利益を損なうが、国家の安全、社会秩序、公共の利益に影響しない一般的なネットワーク。
第2級 破壊された場合、関連公民、法人その他組織の合法的な利益を厳重に損なう、又は社会秩序と公共の利益を損なうが、国家の安全に影響しない一般的なネットワーク。
第3級 破壊された場合、関連公民、法人その他組織の合法的な利益を著しく損ない、社会秩序と公共の利益を厳重に損い、又は国家の安全に損害をもたらす重要なネットワーク。
第4級 破壊された場合、社会秩序と公共の利益を著しく損ない、又は国家の安全に厳重な損害をもたらす特別重要なネットワーク。
第5級 破壊された場合、国家の安全に著しい損害をもたらす極めて重要なネットワーク。

ただ、上記の保護等級の定め方は抽象的であり、具体的にどの保護等級に該当するかは必ずしも明らかではありません。この点は、今後の立法活動や実務の中で徐々に明らかになってくると思われますが、これまでの類似の制度(2007年に公布・施行された「情報安全等級保護管理弁法」)における運用を参考にすれば、例えば、オンライン支払サービスを提供するシステムは第3級に該当し、個別具体的な事情によるものの、通常の事業会社であれば要求レベルの最も基礎的な第1級に該当することが多いと考えられます。

その上で、安全等級別保護条例意見募集稿では、保護等級に応じて、「インターネット運営者」は、以下のような安全保護措置を講じる義務を負うとされています。

(i) 第1級
「インターネット運営者」は一般安全保護義務を負います。ここでいう一般安全保護義務の具体的な内容は以下のとおりです(安全等級別保護条例意見募集稿第20条)。

① インターネット安全責任者の選任及びインターネット安全保護業務の責任制度・責任追及制度の確立等
② 安全管理及び技術保護制度、従業員管理・教育研修、システムセキュリティの構築・運用・維持制度等の確立・実行
③ 設備・建物等の安全管理、インターネット安全管理制度等の実施及び操作規範及び業務フローの制定
④ 身分識別、悪意あるプログラミングコードの伝播、ハッキング攻撃の防止等のための管理及び技術措置の実行
⑤ インターネット運用状態、安全事象・違法犯罪活動の監視・記録のための技術的措置の実行及びログの6か月間以上の保存
⑥ データの分類、重要データのバックアップ・暗号化等の措置の実施
⑦ 個人情報の法に従った収集・使用・処理、個人情報保護措置の実施による個人情報の漏えい・毀損・改竄・窃取・遺失・濫用の防止
⑧ 違法情報を発見した場合の即時切断・削除等の措置の実行、違法情報の大量伝播・違法犯罪証拠の滅失等を防止するための措置の実行
⑨ インターネット届出及びユーザーの身分の真実性確認等の責任の実行
⑩ インターネット上で発生した事件について24時間以内に管轄公安機関に報告し、国家秘密が漏えいした場合は、同時に管轄秘密保持行政管理部門に報告

また上記のほか、発見したリスクの改善(同第24条)、年1回以上のネットワークの自己検査(同第25条)等の規定が設けられています。

(ii) 第2級以上
上記の一般安全保護義務に加えて、第2級以上では、「インターネット運営者」は、インターネットについての所管当局に対する審査確認及び届出を行うこと(安全等級別保護条例意見募集稿第17条、第18条)、またインターネット安全性の事前試験を実施することが求められます(同第22条)。

(iii) 第3級以上※1
上記の(i)及び(ii)の義務のほか、第3級以上の「インターネット運営者」は特別安全保護義務を負います。ここでいう特別安全保護義務の具体的な内容は以下のとおりです(安全等級別保護条例意見募集稿第21条)。

① インターネット安全管理機構の確定、インターネット安全等級保護業務の職責の明確化、インターネット接続、運用保守・技術保障業者変更等の事項に関する審査制度の確立
② インターネット安全総合計画及び全体安全保護戦略の制定・実行、安全建設方策の制定、専門技術人員による審査評価
③ インターネット安全管理責任者及び重要ポスト人員に対する安全バックグラウンド審査の実施、認証昇格制度の実行
④ インターネット設計・構築・運用保守・技術サービスを提供する機構・人員に対する安全管理の実施
⑤ インターネット安全状況の感知・監測・事前警告措置、インターネット安全保護管理プラットフォーム、インターネット運行状態・流量・ユーザー行為・安全事件等に対する動態監測分析の実行、公安機関との連携
⑥ 重要インターネット設備、通信回線・システムの冗長性・バックアップ・回復措置の実行
⑦ インターネット安全等級測定評価制度の確立、等級定期測定評価、測定評価状況及び安全是正措置・結果の公安機関及び関連部門への報告

また、第3級以上の保護等級に該当する場合には、専門機関によるインターネット安全等級測定評価の事前実施(同第22条)、およびインターネットについての年1回以上の安全等級評価の実施及び公安部門への報告が求められます(同第23条)。

上記のとおり、「インターネット運営者」は、インターネット安全法に定められるインターネットの安全保護措置を、今後正式に制定される「インターネット安全等級別保護条例」に基づく保護等級に従って履行することが求められると考えられます。

※1:安全等級別保護条例意見募集稿は、第4級及び第5級の保護等級に該当する「インターネット運営者」について、第3級と別途、第4級及び第5級に応じた特別な安全保護措置を規定していません。

b)インターネット実名制
「インターネット運営者」は、「インターネット実名制」を採用することが義務付けられています。すなわち、「インターネット運営者」は、ユーザーのためのウェブサイト接続、ドメイン登録サービス、固定電話、移動電話等のインターネット接続手続き、又はユーザーのために情報の配信発表、リアルタイム通信等のサービスを提供するにあたり、ユーザーに真実の身分情報の提供を求めなければなりません。そして、ユーザーが真実の身分情報を提供しないときは、「インターネット運営者」は当該ユーザーのために関連するサービスを提供してはならないとされています(インターネット安全法第24条)。

c)その他の「インターネット運営者」の責務
「インターネット運営者」は、インターネットの安全確保のために問題が生じた場合には即座に対応できる体制を整え、安全を脅かす事象が生じた場合には直ちに緊急の対応策を講じ、当局に対して報告をしなければなりません(インターネット安全法第25条)。また、公安部門、国家安全部門の国家安全の維持活動・犯罪捜査活動のために技術支援を行い、協力しなければならないとされています(同法第28条)。このように、当局に対する報告や協力に関する義務が規定されている点も注意が必要です。

(2)行政処罰事例

上記の各「インターネット運営者」の責務については、その法令違反行為について、すでに行政処罰が行われている事例が散見されます。例えば、インターネット安全責任者を設置していない、インターネットの安全を脅かす行為を防止する技術的措置を講じていない、又はウェブサイトログを少なくとも6か月保管していないといった安全保護措置義務の違反に対して、当局により警告及び是正命令が出されている例が複数存在します※2。また、安全保護措置が十分でなかったために、外部からシステムに侵入された事案においては、会社及び法定代表者に対して過料の行政処罰(それぞれ1万元と5千元)が行われている例も存在します。

インターネット安全法の下位規則やガイドラインはまだ制定段階であっても、インターネット安全法に基づいて当局が取り締まりを行っている現状もありますので、処罰事例等の実務運用の動向を含め、注意が必要です。

※2:「2018中国データ保護年度報告」(LexisNexis・元達律師事務所、2018年4月12日)

2.「重要情報インフラ」の運営者の責務

第1回でご説明したとおり、「重要情報インフラ」とは、「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政等の重要な業界及び分野、並びにその他の機能が破壊され、喪失し、又はデータが漏洩すると国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある」インフラとされています(インターネット安全法第31条)。この「重要情報インフラ」を運営する企業(「重要情報インフラ」の運営者)の範囲については、今後制定されることが予定されている「重要情報インフラ安全保護条例」(現時点では2017年7月10日に意見募集稿が公布されているのみです。)において具体化される予定ですが、「重要情報インフラ」の運営者に該当する場合には、下記のとおり様々な義務が課されることとなりますので、該当する可能性がある企業は注意が必要です。「重要情報インフラ」の範囲や類型については、本稿第1回をご参照下さい。

インターネット安全法において、「重要情報インフラ」の運営者は一般の「インターネット運営者」に比して高度な安全保護義務を負い、かつ国の安全審査、重要データの国内保存義務等の法的措置に協力し、重要な情報インフラの運営の安全性を確保することが義務付けられています。

まず、上記の「インターネット運営者」の安全保護措置義務に加えて、(i)専門の安全管理機構及び安全管理責任者を設置すること、(ii)従業員に対して定期的にインターネットの安全に関する教育を行うこと、(iii)重要なシステム及びデータベースについて災害に備えたバックアップを行うこと、(iv)インターネットの安全に対する緊急事態における対応策を策定し、定期的に訓練を行うこと等が要求されます(インターネット安全法第34条)。

さらに、「重要情報インフラ」の運営者は、中国国内における事業活動によって収集し、又は発生した個人情報及び重要データを中国国内で保存しなければならず、業務上の必要により国外に提供する必要がある場合には、国家インターネット情報部門の規則に従い安全評価を行わなければならないとされています(同法第37条)。この点については、第3回において詳しく説明することにします。

加えて、「重要情報インフラ」の運営者は、自ら又は委託によって、インターネットの安全性及びリスク要因について毎年少なくとも1回は検査評価を行い、それを重要情報インフラの安全保護業務を担当する部門に報告しなければならないとされています(同法第38条)。

3.インターネット製品及びサービスの提供者の責務

インターネット安全法は、インターネット製品及びサービスの提供者に対しても一定の規律を定めています。具体的には、以下のとおりです(インターネット安全法第22条)。

(i)インターネット製品及びサービスは、関連国家標準の強制要求に合致しなければなりません。

(ii)インターネット製品及びサービスの提供者は、悪意のあるプログラムを設定してはならず、そのインターネット製品及びサービスに安全上の欠陥、脆弱性等のリスクが存在することを発見した場合は、直ちに救済措置を講じ、規定に従い遅滞なくユーザーに告知し、かつ関連主管部門に報告しなければなりません。

(iii)インターネット製品及びサービスの提供者は、その製品及びサービスのために安全に係る保守を継続して提供しなければならず、定められた又は当事者が取り決めた期限内に、安全に係る保守の提供を取り止めてはならないとされています。

(iv)インターネット製品及びサービスがユーザー情報の収集機能を有する場合、その提供者は、ユーザーに対しその旨を明示し、かつその同意を得なければならないとされています。

4.まとめ

インターネット安全法に基づくセキュリティ対応を検討するためには、まず自社が「インターネット運営者」、「重要情報インフラ」の運営者、インターネット製品及びサービスの提供者に該当するか否かを判断する必要があります。その上で、インターネット安全法及びその関連規則・ガイドラインの要求に基づき、具体的な対応を検討する必要があります。今後、関連規則・ガイドラインが正式に制定されることで、さらに当局による取り締まりも厳しくなることが予想されますが、現時点においてもインターネット安全法に基づく取り締まり・行政処罰は行われていることにも注意が必要です。



本間 隆浩

森・濱田松本法律事務所 東京オフィス パートナー 弁護士(日本国及び米国ニューヨーク州)

【経歴】
2006年東京大学法学部卒業
2013年コロンビア大学ロースクール修了
2013年Weil, Gotshal & Manges法律事務所(ニューヨークオフィス)にて執務(~2014年)
2014年森・濱田松本法律事務所上海オフィス一般代表(~2017年)

【主な取り扱い分野】
国際業務(中国・アジア法務)、M&A/企業再編、争訟/紛争解決


森 規光

森・濱田松本法律事務所 上海オフィス アソシエイト 弁護士(日本国及び米国ニューヨーク州)

【経歴】
2005年慶應義塾大学法学部卒業
2007年慶應義塾大学法科大学院修了
2011年経済産業省経済産業政策局産業組織課に出向(~2013年)
2015年コーネル大学ロースクール卒業
2015年Alston & Bird法律事務所(アトランタオフィス)にて執務(~2016年)
2017年中国上海交通大学中国語課程修了
2017年森・濱田松本法律事務所上海オフィス一般代表

【主な取扱分野】
国際業務(中国法務)、M&A、コーポレート・ガバナンス、労働法務


田中 浩之

森・濱田松本法律事務所 東京オフィス オブ・カウンセル 弁護士(日本国及び米国ニューヨーク州)

【経歴】
2004年慶應義塾大学法学部法律学科卒業
2006年慶應義塾大学大学院法務研究科修了
2013年ニューヨーク大学ロースクール卒業(競争・発明・情報法学修士)
2013年Clayton Utz法律事務所シドニーオフィスにて執務(~2014年)
2018年慶應義塾大学法学部法律学科非常勤講師

【主な取扱分野】
国内外の個人情報保護、EUの一般データ保護規則(GDPR)、営業秘密を含む情報管理、IT法務(システム開発、アプリ・ゲーム、サイバーセキュリティ等)、知的財産法