中国サイバーセキュリティ法対応セミナー in 上海 セミナーレポート
(2018年10月22日 中国・上海)
2019/02/07
1. 日系企業の対応状況と具体的な処罰事例が明らかに
EUのGDPRをはじめとして世界各地でデータローカライゼーションなどのデータ保護法が立案、施行されている中で日系企業の関心が高いのが2017年6月1日に施行された中国サイバーセキュリティ法{網絡(インターネット)安全法}です。2018年10月上海に於いてIIJ Global Solutions Chinaと西村あさひ法律事務所上海事務所の共催で、中国サイバーセキュリティ法対応セミナーを開催しました。
当日は西村あさひ法律事務所 上海事務所代表 野村高志 弁護士とIIJ Global Solutions China Inc. 副総経理 技術統括部部長 李天一が登壇しました。
中国に進出している日系企業を対象に行った今回のセミナーですが、会場で実施された参加者へのアンケートでは同法について、“懸案事項だが対応開始には至っていない”との回答も多く、各セッションでは実務上のポイントや日系企業の対応状況、施行から1年4ヶ月経った中国での取り締まりの現状について説明されました。
2. 中国ネット安全法の概要と対応のポイント
西村あさひ法律事務所 上海事務所代表
野村高志 弁護士
[法律の管理監督部門の重要性]
まず冒頭で野村弁護士は中国の法律に対する基本的な考え方として次のような点をあげた。
「中国の法律には具体的な管理監督部門があり、法律と管理部門が繋がっているケースが多いです。部門により考え方や、法律に対する温度差があり、どのような部門が絡んでいるかによって、その法律の意味合いや位置づけもわかります。
条文だけを見るのではなく、法律の管理監督部門を認識することが重要です。」
[中国企業、外資企業のほぼ全ての企業が適用範囲に]
中国に進出した日系企業の中にはまだ自社が適用対象なのかどうか判断できない企業や、インターネット事業者のみが対象となると考えている企業も多いという。野村弁護士はその適用範囲について次のように話す。
「法律の適用対象については、『中国サイバーセキュリティ法』という名称からインターネット事業者が主な適用対象だと考える方も多いようですが、適用対象には『ネットワーク運営者』と『重要情報インフラ運営者』という分類があり、『ネットワーク運営者』はかなり広い範囲が対象となります。社内にあるようなネットワークの所有者、管理者、サービス提供者、さらにコンピュータや端末の所有者も適用対象になるので注意が必要です。中国に進出している外資企業はほとんどが適用対象となります。
『重要情報インフラ運営者』は名称の通り、通信、エネルギー、交通、水道、国防技術などの重要情報を扱っているネット事業運営者は当然に適用対象となり、更に対象が広がる可能性もあります。」
[処罰事例と中国当局の法律運用能力]
実際に中国では中国企業に対する処罰事例も出ており注意が必要だという。一方中国に進出している外資企業についてはどのような状況なのか、現状を次のように解説した。
「中国サイバーセキュリティ法の実際の運用も進んでいます。処罰の事例として分かりやすいのが、テンセント、バイドゥといったネット掲示板での暴力、ポルノなどに関する情報の掲載ですが、その他にも昨年、中国企業で処罰事例が出ています。重慶市のある中国企業では中国サイバーセキュリティ法に準じて、ユーザーログインに関連するログ保存がされていなかったということで改善の警告を受けています。またアリババ系企業のアリユンでは、ユーザーの実名確認をしていなかったということで是正命令が出されています。
このように法律は実際に運用されており、大手企業も対象になっているので要注意です。外資系企業については、以前の独禁法の例が参考になります。独禁法の施行当初は、専門性の高い複雑な法律のため運用は難しいだろうと考えられていましたが、施行から数年後には、サムスン、LGなどが巨額の罰金に処された事例もありますので、中国当局の法律運用能力を楽観視するのは避けた方が良いでしょう。また、自社には関連がないと考えていた部分でも、業務の関連性によっては間接的に対応を求められる場合も考えられます。」
[小額に見える処罰の過料だが注意が必要]
中国企業に限らず、外資系企業に対する処罰の可能性も十分予測される状況の中で、実際の処罰内容はどのようなものなのか。提示されている過料は比較的小額と受け取られがちだが、十分な注意が必要だと野村弁護士はアドバイスする。
「違反が摘発されて処罰を受けた場合の影響ですが、中国サイバーセキュリティ法の『安全保護義務』に違反した場合は会社:1万元以上10万元以下の過料、責任者(個人):5千元以上5万元以下の過料などと比較的小額だと考えられがちです。
しかし『身分情報の要求義務』に違反すると、営業停止やWebサイトの閉鎖命令に及ぶこともあり、ビジネスにダイレクトに影響がありますので重大な結果を招きます。さらに『個人情報に関する義務』に違反した場合、違法所得の没収が科されますが、取引形態によっては違法所得の範囲が広がり、かなり高額になる場合もあり注意が必要です。」
[データ国外移転の詳細も具体化へ]
公布されている関連法令や業界標準の多数がパブリックコメント段階にある個人情報、重要データの中国国外持ち出しについて、今後の見通しを示し、情報セキュリティ規定や業務プロセスの整備が急務であるとセッションを締めくくった。
「日系企業の皆様が一番関心をお持ちの個人情報、重要データの中国国内保存、国外持ち出しの際の安全評価については、関連するガイドラインや業界標準がパブリックコメント募集段階となっているものなどがありますが、社内の情報セキュリティ規定と、業務プロセスの整備が急務です。2018年5月1日から『情報安全技術 個人情報安全規範』が国家標準(GB)として実施されています。これは中国サイバーセキュリティ法が個人情報保護について具体化されたと考えてもよいと思います。よってデータ国外持ち出しについても、今後次々と具体化していくと考えられます。日系企業の対応しては、法務部門とIT部門とが協働して対応することがとても重要です。」
3. 日系企業からの問合せ内容と対応事例
IIJ Global Solutions China Inc.
副総経理 技術統括部部長 李天一
[日系企業の対応状況にみられる傾向]
セッションの導入部分で日系企業の中国サイバーセキュリティ法対応について危機感が必要であると強調した。
「中国に進出している日系企業のIT管理体制ですが、日本本社に偏りがちな部分があり、中国拠点では業務プロセスが優先されIT管理体制が貧弱になっている傾向があります。しかし中国政府は本腰を入れて中国サイバーセキュリティ法の運用に取り組んでおり、さらに同法への理解を深めた上で危機感を持つ必要があります。」
[中国政府の本気度合い]
日系企業の中ではまだ危機感は比較的低い中国政府の中国サイバーセキュリティ法への対応だが、取り締まり体制の強化や実際の裁判状況を示し同法への中国政府の本気度合いを解説した。
「中国政府の中国サイバーセキュリティ法への取り組みの本気度をあらわす例として公安機関のサイバーセキュリティ法取り締まりへの関与が挙げられます。今後情報セキュリティレベル、越境転送の義務が遵守されているか公安機関による監督検査が入る可能性があります。」
「中国政府の本気度合い 抑制力の強化と取り締まり体制」
「中国サイバーセキュリティ法の施行から2018年6月までに中国の地方裁判所を中心に審理が行われており、中国サイバーセキュリティ法違反に関する裁判件数は既に1,000件を超えています。
各省の分布を見ると日系企業が多数進出している江蘇省、浙江省、重慶市、上海市、広東省が裁判件数上位にあるのが分かります。」
「中国政府の本気度合い 取り締まり実績」
[プロセス監査的な考え方で継続的な対応を]
日系企業から寄せられている問合せにはどのようなものがあるのか。法解釈、IT実装について問合せ例と対応ポイントを提示し継続的な対応の必要性を訴えてセッションを終えた。
お客様からの問合せには、法解釈では用語の定義として「重要データの定義がよく分からない」というものが多く、中国サイバーセキュリティ法の強制力への疑問としては、「日系他社の対応をみてからでは遅いのか?」、「当局から何も指示が来ていないので対応は不要ではないか?」といった内容も多く聞かれます。これらに関しては先の野村先生の講演内容にあるとおり日系企業の大部分が対象となります。
IT実装については、現状のシステム構成・利用ポリシーに関する問合せとして、「現在利用中のシステムが中国国外にある場合や、中国国内からデータを国外に転送している場合どのレベルまで今後対応が必要なのか分からない」という内容が多くなっています。こちらは情報セキュリティの側面とデータ越境の側面から考える必要があります。情報セキュリティレベルについては網絡等級安全保護制度に照らし合わせて判断することになります。データ越境については、影響度合い(データ種別と量)と漏洩リスクを掛け合わせて判断する必要がありますが、最終的な越境転送可否の判断においては先の情報セキュリティも絡んできます。
中国サイバーセキュリティ法全体の特長としては、結果オーライというよりはプロセス指向、プロセス監査的な意味合いが強い法律であり、このため継続的な対応が必要ということになります。
