2017年6月1日施行、中国インターネット安全法が日系企業に与える影響
IT・情報セキュリティ
目次
- 多くの企業が規制の対象となるおそれ
- 情報ネットワーク運営者および重要情報インフラ運営者に対する主な義務
- 当局は強い権限を持つ
- 日系企業に与える影響
2017年6月1日、「中国インターネット安全法」(中国語:中華人民共和国網絡安全法1、以下「本法」といいます)が施行されました。本法に対しては、成立以前の段階から、中国当局によるインターネット空間の支配を強化するものであり、外国企業の中国ビジネスに大きな影響を与える可能性があるとの懸念が示されていました。また、法律上の文言が曖昧であり、規制範囲が不明確であるとの問題点も指摘されています。
そこで、本稿では、本法および現在(本稿執筆時点)までに公表されている関連法令を踏まえ、本法の規制内容を説明したうえで、日系企業に与える影響について考察を行います。
多くの企業が規制の対象となるおそれ
本法により規制を受ける主な対象者は、「情報ネットワーク運営者」です。また、「情報ネットワーク運営者」のうち、一定の要件を満たす者は、「重要情報インフラ運営者」に分類され、より重い義務を課されることになります。なお、本法は、外国企業であるか否かという基準で規制の対象者を区別していません。
情報ネットワーク運営者とは、「情報ネットワークの所有者、管理者およびネットサービス提供者」をいいます(本法76条3号)。そして、「情報ネットワーク」とは、「コンピューターやその他の情報端末、関連設備等で生成され、一定の規則およびプログラムに基づき、データの収集、保存、転送、交換、処理を行うシステム」と定義されており(本法76条1号)、通信回線やインターネットに限定されておらず、広く情報システム全般を含んでいると考えられます。この定義からすれば、いわゆる企業内部で使用されるイントラネット等も情報ネットワークに含まれる可能性があります。したがって、いわゆる通信業者だけではなく、多くの企業が情報ネットワーク運営者に該当するおそれがあります。
他方で、重要情報インフラ運営者の定義に関しては、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要分野に加えて、「破壊を受け、機能を喪失し、またはデータの漏えいが発生した場合に、国の安全、人民の生活、公共利益に重大な危険をもたらす可能性がある」分野における重要情報インフラ(本法31条)の運営者であること以外は、法律上、特に定義規定が設けられておらず、具体的な範囲が明確ではありません。
この点に関して、2017年7月11日に「重要情報インフラ安全保護条例(パブリックコメント版)」2 が公表されました。もっとも、同条例では、重要情報インフラの対象業種が追加されましたが3、具体的な範囲が明確になったわけではなく、重要情報インフラを識別するためのガイドラインを別に設けることが定められているため(同条例19条)、当該ガイドラインの公表を待つ必要があります。
情報ネットワーク運営者および重要情報インフラ運営者に対する主な義務
情報ネットワーク運営者および重要情報インフラ運営者に対して課される主な義務4の概要は、以下のとおりです。
(1)情報ネットワーク運営者の主な義務
| 義務 |
|
|---|---|
|
|
|
|
|
|
|
|
|
|
| 義務のうち個人情報に関する義務 |
|
|
|
|
(2)重要情報インフラ運営者に追加で課される主な義務
| 義務 |
|
|---|---|
|
|
|
|
|
|
|
上記表(本法37条)のとおり、重要情報インフラ運営者には、中国で収集した「個人情報および重要データ」について中国国内保存義務等が課されるところ、「個人情報」とは、「電磁その他の方法によって記録され、単独でまたはその他の情報と結合して、自然人5の個人身分を識別できるあらゆる情報」をいい、たとえば自然人の氏名、生年月日、身分証明書番号、個人生物識別情報、住所、電話番号等が含まれるとされています(本法76条5号)。
他方で、「重要データ」の定義は、明確ではありません。2017年4月11日に公表された「個人情報および重要データの国外への移転に係る安全評価規則(パブリックコメント版)」6では、「国の安全、経済発展および社会公共利益と密接な関係をもつデータ」であると定義されていますが(同規則17条)、この定義でも具体性に欠けており、今後、より具体的な規定がガイドライン等で公表される予定です。
当局は強い権限を持つ
本法は、当局に対し、インターネット空間において、たとえば以下のような強い権限を与えています。
| 当局の権限 |
|
|---|---|
|
日系企業に与える影響
本法における情報ネットワーク運営者の定義がかなり広いことからすれば、中国に拠点を有する多くの日系企業が情報ネットワーク運営者に該当する可能性があります。そして、該当する場合には、上記のとおり、ネットワークセキュリティ責任者を置く義務やネットワークセキュリティに関する緊急対応策の制定義務を負うほか、個人情報の収集・使用に関する規定の公開や個人情報の第三者提供には原則同意を得る等の個人情報取扱義務を負うことになります。
さらに、中国国内でネットワーク製品やサービスを提供する場合には、強制性を有する国家標準に適合しなければならないとされていますので、たとえば、セキュリティーソフトをはじめとするインターネット関連商品やインターネットサービスを中国で提供する場合には、中国の標準に合致させることが必要になります。
加えて、当局から捜査協力を求められた場合には、暗号化されたデータの復元を求められたり、データを差し押さえられる可能性や、ネットワーク通信自体を制限される可能性もあります。
仮に重要情報インフラ運営者に該当する場合には、より重い義務を負うことになり、特に、ネットワーク製品・サービスを購入する場合に安全審査を受ける義務や個人情報等の中国国内でのデータ保存義務、データの国外提供時の安全評価を受ける義務等は、外国企業にとってコストの大幅な増加、データのグローバル活用の制限、商品の安全性の弱体化等を招く懸念があるといわれています。もっとも、上記のとおり、重要情報インフラ運営者の範囲はなお不明確であり、今後の法令の動向を注視する必要があります。
本法の各条文は抽象的な規定が多く、より具体的な細則が今後制定されることが見込まれています7。中国では、従前からの慣行として、実務レベルの規則が制定されない段階では取締りも開始されないという状況が見られましたが、本法に関しては、すでに、中国国内企業に対する行政処罰案件として、ウェブサイト運営者のセキュリティレベルが不十分であったために罰金処分を受けた事件も報道(财经网政经「四川查处违反网络安全法首案:一网站因高危漏洞遭入侵被罚」)されています。
したがって、日系企業としても、セキュリティ管理体制および対策に関して現状評価を行うなど、可能な範囲で速やかに本法への対応を行うことが求められています。
-
中国語の法令名である「網絡安全法」を、「サイバーセキュリティ法」または「ネット安全法」等と翻訳する例も見られますが、本稿では、「インターネット安全法」と翻訳しています。 ↩︎
-
中国語名称:《关键信息基础设施安全保护条例(征求意见稿)》 ↩︎
-
本文で列挙した業種に加えて、医療、教育、環境保護、国防科学工業、大型設備、化学工業、食品薬品及び報道機関等が追加されて、「情報サービス」の具体例として、クラウドコンピューティング、ビッグデータおよびその他の公共情報インターネットサービスが追加されました。 ↩︎
-
本稿に列挙する義務は、便宜上、本法の条文を日本語に翻訳したうえで要約したものであり、すべての義務を網羅的に記載するものではないことにご留意ください。 ↩︎
-
本法の草案段階では、個人情報の保護対象は中国公民(中国国籍を有する者)とされていましたが、最終的に「自然人」と規定され、外国人の個人情報も保護対象になりました。 ↩︎
-
中国語名称:《个人信息和重要数据出境安全评估办法(征求意见稿)》 ↩︎
-
なお、本文で記述した「個人情報および重要データの国外への移転に係る安全評価規則(パブリックコメント版)」は、重要インフラ運営者だけではなく、情報ネットワーク運営者に対しても、個人情報等の中国国内でのデータ保存義務、データ国外提供時の安全評価を受ける義務等を課すなど(同規則2条、9条等)、本法を超える義務を定めており、今後、どのような修正を経て正式に施行されるかを注視する必要があります。 ↩︎
明倫国際法律事務所
- コーポレート・M&A
- 人事労務
- 知的財産権・エンタメ
- 危機管理・内部統制
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- ベンチャー