2017年6月1日施行、中国インターネット安全法が日系企業に与える影響

IT・情報セキュリティ

 2017年6月1日、「中国インターネット安全法」(中国語:中華人民共和国網絡安全法1、以下「本法」といいます)が施行されました。本法に対しては、成立以前の段階から、中国当局によるインターネット空間の支配を強化するものであり、外国企業の中国ビジネスに大きな影響を与える可能性があるとの懸念が示されていました。また、法律上の文言が曖昧であり、規制範囲が不明確であるとの問題点も指摘されています。

 そこで、本稿では、本法および現在(本稿執筆時点)までに公表されている関連法令を踏まえ、本法の規制内容を説明したうえで、日系企業に与える影響について考察を行います。

多くの企業が規制の対象となるおそれ

 本法により規制を受ける主な対象者は、「情報ネットワーク運営者」です。また、「情報ネットワーク運営者」のうち、一定の要件を満たす者は、「重要情報インフラ運営者」に分類され、より重い義務を課されることになります。なお、本法は、外国企業であるか否かという基準で規制の対象者を区別していません。

「情報ネットワーク運営者」と「重要情報インフラ運営者」の違い

 情報ネットワーク運営者とは、「情報ネットワークの所有者、管理者およびネットサービス提供者」をいいます(本法76条3号)。そして、「情報ネットワーク」とは、「コンピューターやその他の情報端末、関連設備等で生成され、一定の規則およびプログラムに基づき、データの収集、保存、転送、交換、処理を行うシステム」と定義されており(本法76条1号)、通信回線やインターネットに限定されておらず、広く情報システム全般を含んでいると考えられます。この定義からすれば、いわゆる企業内部で使用されるイントラネット等も情報ネットワークに含まれる可能性があります。したがって、いわゆる通信業者だけではなく、多くの企業が情報ネットワーク運営者に該当するおそれがあります。

 他方で、重要情報インフラ運営者の定義に関しては、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要分野に加えて、「破壊を受け、機能を喪失し、またはデータの漏えいが発生した場合に、国の安全、人民の生活、公共利益に重大な危険をもたらす可能性がある」分野における重要情報インフラ(本法31条)の運営者であること以外は、法律上、特に定義規定が設けられておらず、具体的な範囲が明確ではありません

 この点に関して、2017年7月11日に「重要情報インフラ安全保護条例(パブリックコメント版)」2 が公表されました。もっとも、同条例では、重要情報インフラの対象業種が追加されましたが3、具体的な範囲が明確になったわけではなく、重要情報インフラを識別するためのガイドラインを別に設けることが定められているため(同条例19条)、当該ガイドラインの公表を待つ必要があります。

情報ネットワーク運営者および重要情報インフラ運営者に対する主な義務

 情報ネットワーク運営者および重要情報インフラ運営者に対して課される主な義務4の概要は、以下のとおりです。

(1)情報ネットワーク運営者の主な義務

義務
  • 国の定めるネットワークネットセキュリティ等級制度に従い、セキュリティ責任者を置き、セキュリティに関する各種措置を実施する義務(本法21条)
  • (ネットワーク製品やサービスを提供する場合には)提供した製品やサービスが、強制性を有する国家標準に適合しなければならず、不備・欠陥等のリスクが存在するときは、ユーザーおよび関連主管部門に報告する義務(本法22条)
  • 一部のサービス(インターネット接続、固定電話、モバイル電話等のインターネット接続関連のサービス等)を提供する者は、ユーザーと契約を締結する等の場合に、ユーザーに対して真正な個人情報の提供を要求する義務(本法24条)
  • ネットワークセキュリティに関する緊急対応策の制定義務(本法25条)
  • 公安機関、国家安全機関が国家安全を維持する活動を行う場合や犯罪捜査を行う場合に、技術サポートおよびその他の協力を提供する義務(本法28条)
  • 国家網信部門および関連部門が実施する監督検査に協力する義務(本法49条)
義務のうち個人情報に関する義務
  • ユーザー情報の秘密保護義務、情報保護制度の構築義務(本法40条)
  • ユーザーの個人情報を収集・使用する場合には、収集・使用に係る規定を公開し、個人情報の収集・使用の目的、方法および範囲を明示し、個人情報の主体の同意を取得する義務(本法41条)
  • 収集した個人情報を漏えい、改ざん、破損してはならず、また、被収集者の同意を得ずに第三者に個人情報を提供してはならない義務(個人が特定できない形での第三者提供を除く)(本法42条)

(2)重要情報インフラ運営者に追加で課される主な義務

義務
  • 専門のセキュリティ管理機構およびセキュリティ責任者を設置し、定期的に従業員に対する研修をし、重要システム・データのバックアップを実施し、ネットワークセキュリティに関する緊急時の対応策を制定等する義務(本法34条)
  • ネットワーク製品・サービスを購入し、国家の安全に影響を与える可能性がある場合、国家安全審査を受ける義務(本法35条)
  • ネットワーク製品・サービスを購入する場合、関連規定に従い、提供者との間に安全秘密保持契約を締結し、安全および秘密保持の義務・責任を明確にする義務(本法36条)
  • 中国で収集したまたは生じた個人情報および重要データは、中国国内で保存する必要があり、業務上の必要性で国外に提供する必要がある場合、安全評価を受ける義務(本法37条)
  • 少なくとも1年に一度、ネットワークの安全性およびリスクに関して検査を行い、検査状況を関連部門に送付する義務(本法38条)

 上記表(本法37条)のとおり、重要情報インフラ運営者には、中国で収集した「個人情報および重要データ」について中国国内保存義務等が課されるところ、「個人情報」とは、「電磁その他の方法によって記録され、単独でまたはその他の情報と結合して、自然人5の個人身分を識別できるあらゆる情報」をいい、たとえば自然人の氏名、生年月日、身分証明書番号、個人生物識別情報、住所、電話番号等が含まれるとされています(本法76条5号)。

 他方で、「重要データ」の定義は、明確ではありません。2017年4月11日に公表された「個人情報および重要データの国外への移転に係る安全評価規則(パブリックコメント版)」6では、「国の安全、経済発展および社会公共利益と密接な関係をもつデータ」であると定義されていますが(同規則17条)、この定義でも具体性に欠けており、今後、より具体的な規定がガイドライン等で公表される予定です。

当局は強い権限を持つ

 本法は、当局に対し、インターネット空間において、たとえば以下のような強い権限を与えています。

当局の権限
  • 行政法令で公表が禁止されている情報等について、情報ネットワーク運営者に対してデータの送信や削除を求める権限、および中国外からの通信遮断等を求める権限(本法50条)
  • 国家の安全・公共秩序の維持、および社会的安全に関わる緊急事態への対応のために、特定地域におけるネットワーク通信を制限する権限(本法58条)

日系企業に与える影響

 本法における情報ネットワーク運営者の定義がかなり広いことからすれば、中国に拠点を有する多くの日系企業が情報ネットワーク運営者に該当する可能性があります。そして、該当する場合には、上記のとおり、ネットワークセキュリティ責任者を置く義務やネットワークセキュリティに関する緊急対応策の制定義務を負うほか、個人情報の収集・使用に関する規定の公開や個人情報の第三者提供には原則同意を得る等の個人情報取扱義務を負うことになります。

 さらに、中国国内でネットワーク製品やサービスを提供する場合には、強制性を有する国家標準に適合しなければならないとされていますので、たとえば、セキュリティーソフトをはじめとするインターネット関連商品やインターネットサービスを中国で提供する場合には、中国の標準に合致させることが必要になります。

 加えて、当局から捜査協力を求められた場合には、暗号化されたデータの復元を求められたり、データを差し押さえられる可能性や、ネットワーク通信自体を制限される可能性もあります。

 仮に重要情報インフラ運営者に該当する場合には、より重い義務を負うことになり、特に、ネットワーク製品・サービスを購入する場合に安全審査を受ける義務や個人情報等の中国国内でのデータ保存義務、データの国外提供時の安全評価を受ける義務等は、外国企業にとってコストの大幅な増加、データのグローバル活用の制限、商品の安全性の弱体化等を招く懸念があるといわれています。もっとも、上記のとおり、重要情報インフラ運営者の範囲はなお不明確であり、今後の法令の動向を注視する必要があります。

 本法の各条文は抽象的な規定が多く、より具体的な細則が今後制定されることが見込まれています7。中国では、従前からの慣行として、実務レベルの規則が制定されない段階では取締りも開始されないという状況が見られましたが、本法に関しては、すでに、中国国内企業に対する行政処罰案件として、ウェブサイト運営者のセキュリティレベルが不十分であったために罰金処分を受けた事件も報道(财经网政经「四川查处违反网络安全法首案:一网站因高危漏洞遭入侵被罚」)されています。
 したがって、日系企業としても、セキュリティ管理体制および対策に関して現状評価を行うなど、可能な範囲で速やかに本法への対応を行うことが求められています。


  1. 中国語の法令名である「網絡安全法」を、「サイバーセキュリティ法」または「ネット安全法」等と翻訳する例も見られますが、本稿では、「インターネット安全法」と翻訳しています。 ↩︎

  2. 中国語名称:《关键信息基础设施安全保护条例(征求意见稿)》 ↩︎

  3. 本文で列挙した業種に加えて、医療、教育、環境保護、国防科学工業、大型設備、化学工業、食品薬品及び報道機関等が追加されて、「情報サービス」の具体例として、クラウドコンピューティング、ビッグデータおよびその他の公共情報インターネットサービスが追加されました。 ↩︎

  4. 本稿に列挙する義務は、便宜上、本法の条文を日本語に翻訳したうえで要約したものであり、すべての義務を網羅的に記載するものではないことにご留意ください。 ↩︎

  5. 本法の草案段階では、個人情報の保護対象は中国公民(中国国籍を有する者)とされていましたが、最終的に「自然人」と規定され、外国人の個人情報も保護対象になりました。 ↩︎

  6. 中国語名称:《个人信息和重要数据出境安全评估办法(征求意见稿)》 ↩︎

  7. なお、本文で記述した「個人情報および重要データの国外への移転に係る安全評価規則(パブリックコメント版)」は、重要インフラ運営者だけではなく、情報ネットワーク運営者に対しても、個人情報等の中国国内でのデータ保存義務、データ国外提供時の安全評価を受ける義務等を課すなど(同規則2条、9条等)、本法を超える義務を定めており、今後、どのような修正を経て正式に施行されるかを注視する必要があります。 ↩︎

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集