HOME 著書・論文知的財産ジョーンズ・デイ・ホワイトペーパー:中国の新しいサイバーセキュリティ法及びデータローカリゼーション規則草案が国際的企業に与える影響

著書・論文 知的財産

2017年5月

ジョーンズ・デイ・ホワイトペーパー:中国の新しいサイバーセキュリティ法及びデータローカリゼーション規則草案が国際的企業に与える影響

中国の新しいサイバーセキュリティ法は2017年6月1日に施行予定ですが、中国に進出している企業、及び中国と取引のある企業に対し、深刻な影響を及ぼす可能性のある包括的な条項を有しています。新法において議論を呼んでいる、データローカリゼーション(データの中国国内保存)要件について指針を提供するため、中国サイバー管理局(CAC)は2017年4月11日に、個人情報及び重要データの国外送信におけるセキュリティ評価規則の草案を、パブリックコメントに付しました。この規則草案は、国際社会から激しい批判を受けていますが、大きな変更がないまま2017年6月1日に発効する見込みです。注目すべきは、この規則草案によって、データローカリゼーション要件が適用される企業の範囲がさらに拡大し、中国においてコンピュータシステムを用いる企業に広く適用される可能性があるという点です。パブリックコメントの提出期限は2017年5月11日と、新法の施行のわずか3週間前です。

このホワイトペーパーでは、新法が要求する新たな法令遵守義務について概観するとともに、データローカリゼーション要件について指針を提供する規則草案についても詳しく検討しています。

各企業は、自社のビジネスプラクティスが法律及び規制の要件を遵守できるよう、この新しいプライバシー・サイバーセキュリティ法制に注意を喚起する必要があります。新法及び規則草案は、中国で事業を行い、中国において個人情報を取り扱い域外移転を行う企業に、多大なコスト増を強いる可能性があります。

中国のサイバーセキュリティ法の略史
新法ができるまで、中国のサイバーセキュリティに関する規制は、例えば、インターネット情報サービス管理要領(2011年改正)や中華人民共和国電信条例(2016年改正)などの様々な法律に分散していた。新法は、ネットワークセキュリティを具体的に規定する中国初の包括的な法律となる。国民からの意見聴取が3回にわたって行われた後、ネットワークセキュリティを確実にし、国民のプライバシーとセキュリティを保護するための新法が、2016年11月7日に最終的に可決された。新法の最終版には、広範囲の企業に対して潜在的かつ「大幅に」影響を及ぼす可能性のある広義の定義語や漠然とした規定が数多く含まれているとして、批判を集めている。

ネットワーク事業者および重要情報インフラ事業者の新たな義務
新法は、主として、ネットワーク事業者および重要情報インフラ事業者(「CII事業者」)の2種類の重要組織に対して、データセキュリティ要件を課している。

「ネットワーク事業者」は、情報を収集、保管、送信、交換、および処理する「コンピュータおよびその他の情報端末ならびに関連設備からなるシステム」であるネットワークの所有者、管理者、および「サービスプロバイダー」を含むと広範に定義されている。[1]この定義は、表面上は、通信、無線通信、およびインターネットサービスプロバイダーを含むだけでなく、中国国内でITネットワークを保有し運営するあらゆる組織や企業を含むと見ることができる。中国の法起草者や規制当局は、このようにすべてひとまとめにした包括的な定義を行うことを好む。

CII事業者は、ネットワーク事業者に含まれる亜集団である。明示的に定義されていないが、CII事業者には、公衆通信・情報サービス、エネルギー、輸送、水利、金融、公共サービス、電子通信を行うあらゆる企業が含まれる。[2]それ以外の企業も、破壊された場合、機能を喪失した場合、またはデータが漏洩した場合に、国の安全、社会・経済的福祉、または公共の利益に対して重大な脅威をもたらすインフラストラクチャーを有している企業は、CII事業者とみなされる可能性がある。どのインフラストラクチャーが国の安全または経済を重大な危険に晒すと中国の当局が考えているかについて、詳細なガイドラインは出されていない。どの企業がこの対象になるのかについては、おそらく政府の裁量次第となるであろう。[3]

新法に基づき、ネットワーク事業者は、サイバーセキュリティについて、特に下記のことが義務づけられるであろう。

• ウイルスやその他の侵入を防止するための技術的措置の採用の要件を含む内部セキュリティ管理システムおよび運用規則の導入、ネットワークログの6ヵ月以上の保存、データ分類システムなどの措置の採用、ならびにバックアップシステムや暗号化などのセキュリティ措置の導入。これらのデータセキュリティ手順は、中国の「ネットワークセキュリティ保護階層化システム」により導入しなければならない。[4]
• ネットワークセキュリティ事件に対する緊急対応計画の策定。事件が発生した際には、是正措置を速やかに実施し、関連当局に報告する。
• 国の安全を維持し犯罪の調査を行うための公安当局への技術サポートおよび支援の提供。

CII事業者に対しては、下記の追加的なデータセキュリティ遵守の要件がある。

• 重要な役職に就く担当者のセキュリティ身辺調査の実施、ネットワークセキュリティ教育および技術研修の実行、災害復旧用バックアップの導入を含む、追加的なセキュリティ措置を採る。
• 国の安全に影響を及ぼす可能性のあるネットワーク製品またはサービスの購入時の、中国当局による国のセキュリティレビューの実施。
• 自社のネットワークセキュリティ検査の年1回以上の実施。

企業または組織がCII事業者とみなされない場合でも、新法では、CIIインフラストラクチャー保護システムに自主的に関与することをネットワーク事業者に推奨している。

これらの措置に加え、新法のその他の主要規定が、企業に大きな影響を及ぼすことが予想される。例えば、下記のものが挙げられる。

データローカリゼーション
新法でおそらく最も議論を呼んでいる規定は、中国で収集または生成された「国民の個人情報および重要データ」を中国国内で保管することをCII事業者に要求している第37条である。「重要データ」という用語は、新法において定義されていないが、第76条では、「個人情報」を、電子的にまたはその他の手段で記録された、単独でまたはその他の情報とともに、自然人の身元を特定するのに十分なあらゆる種類の情報と広範に定義しており、個人名、生年月日、身分証明書番号、個人生体認証情報、住所、電話番号等を含むが、これらに限定されない。

新法ではさらに、「正当な業務上の理由」により、かかる情報を中国国外に移転する必要がある場合には、CII事業者は、国務院および国のサイバースペース部門が共同で制定した「セキュリティレビュー」(定義されていない用語)を行わなければならないと規定している。規定に従わなかった場合の罰則としては、所得の没収、罰金(違反した組織および担当者個人の両方)ならびに業務の停止が挙げられる。

これらのデータローカリゼーションの新たな要件は、世界でも最も厳しいデータローカリゼーション要件に属する。後で「規則案によりデータローカリゼーションおよび国外移転の要件を拡大」で説明するように、中国のサイバースペース部門による2017年4月11日の規則案では、データローカリゼーションの要件がさらに拡大され、この義務が他のネットワーク事業者にも適用されている。

個人情報の取扱い
欧州連合の個人データ保護法と同様に、新法では、データ取扱いにおいて、合法、正当、必要の原則を遵守するよう、データ保護の要件をネットワーク事業者に課しており、情報を収集し使用する目的、手段、および範囲を明示したプライバシー通知を公開することも求めている。また、データ主体は、個人情報にアクセスし、個人情報を変更し、削除する権利を有する。

個人情報の移転
新法では、個人を特定し復元できないよう情報が処理されている場合を除き、データ主体の同意なしにネットワーク事業者が個人情報を移転することを禁止している。実務上、すべての関連する個人から同意を得ることは難しいため、このような法的要件は、個人情報を移転する際に、克服できない障害となる可能性があるとの懸念を企業は示している。

インターネットユーザおよびインスタントメッセージ サービスユーザの身元の確認
新法では、サービスを提供する前にユーザの本当の身元を確認する責任をサービスプロバイダーに課すことによって、様々なインターネットユーザおよびインスタントメッセージサービスのユーザの本当の身元のみを使う要件を拡大している。

未成年者のオンライン保護
新法は、サイバースペースにおいて未成年者を保護する原則を強化し、搾取を防止することを目的としている。新法において定められた原則に基づき、子どものオンラインプライバシー保護について、今後補足的な規制がもたらされる可能性がある。

調査と罰則
新法では、これまでよりも明示的で広範囲な監視、調査、執行の権限が規制当局に与えられるため、企業に対する取締まりが強化されることが予想される。上述したように、ネットワーク事業者は、当局への協力が求められる。しかしながら、「協力」の際に、企業のシステムを当局に開示することが企業に求められ、その結果、さらなるセキュリティ漏洩が生じる懸念がある。当局に協力しない場合、ネットワーク事業者だけでなく、担当者も刑罰の対象となる。中国国外のセキュリティシステムへのリスクを回避するため、セキュリティシステムをできる限り切り離すことを検討している企業もある。

規定に従わない場合の刑罰
企業が新法に従わない場合の刑罰が増加することが予想される。新法に違反した場合、警告、業務停止、禁錮、1,000,000元(約150,000米ドル)以下の罰金など、ネットワーク事業者およびCII事業者などに広範な刑罰が課される可能性がある。新法の第75条では、国外の組織または個人が中国のCIIを攻撃した場合、またはその他の方法で危険に晒した場合に、刑罰(資産凍結など)が課されることは注目に値する。

規則案によりデータローカリゼーションおよび国外移転の要件を拡大
2017年4月11日に、中国のサイバースペース部門は、新法の施行を支援するための規則案を発表した。規則案に対して、新法の施行日の3週間前である2017年5月11日まで意見を述べることができる。
規則案は、国外移転の制限について詳細に記載し、データ移転のセキュリティアセスメントについてガイドラインを与え、データの中国国外への移動はどのようなときに禁止されるのかをさらに明確にすることを目的としている。(予想どおり)草案のまま発行された場合、規則案は、データローカリゼーションの要件が、新法で当初想定していた範囲よりも広範囲の企業にまで拡大されるだけでなく、すべてのネットワーク事業者が、中国国外に個人情報を移転する前に、自社のセキュリティレビューを実施するよう求められる。

「重要データ」の定義
規則案では、「重要データ」とは、国の安全、経済発展、社会および公共の利益に密接に関連するデータをいうと定義されるようになった。規則案には、その範囲は国家規格および国のガイドラインに従うと記載されている以外に、どのようなデータがこの基準に該当するのかを示す詳細なガイドラインや有用な例が記載されていない。この漠然とした定義は、中国当局が、自由裁量で、ケースバイケースでこの用語を用いるであろうことを示唆しており、企業にとって、どのような場合にそれが適用されるかについて、法的な不確実性が生じている。

データローカリゼーションの要件がネットワーク事業者に拡大
上述したように、新法では、CII事業者のみを、中国のデータローカリゼーションの新たな要件の対象とすると想定しており、当初は、この義務がその適用および範囲の面で限定的なものとなると安堵していた企業もあった。しかしながら、規則案では、大きく方向転換し、データを海外に移動させる真に正当な業務上の必要性がある場合(その場合には、ネットワーク事業者は、セキュリティアセスメントを実施しなければならない)を除き、個人情報および「重要データ」を中国国内で保管することがすべてのネットワーク事業者に要求されている。データローカリゼーションの要件に従わなければならない企業の範囲をこのように広範囲にすることは、中国で事業を営む法人に対して大きな影響を及ぼす。草案のまま施行された場合、事実上、中国においてコンピュータシステムを用いるすべての企業がデータローカリゼーションの要件の対象となり、場合によってはその実施には費用がかかる。

どのようなときにセキュリティアセスメントが要求されるのか
ネットワーク事業者は、個人情報を中国国外に移転する前に、セキュリティの自己アセスメントを行わなければならない。セキュリティアセスメントは、下記の基準を考慮しなければならない。

• 移転の必要性。
• 個人情報の状況はどのようなものであるか、データ主体の同意が得られているか。
• 重要データの状況はどのようなものであるか。
• データ受領者が導入している保護措置、データ受領者のデータ保護のセキュリティ、送付先の国または地域のデータ保護の環境。
• データ漏洩、破損、改ざん、濫用のリスク。
• 国の安全、社会および公共の利益、個人の合法的な利益に関連するリスク。
移転が下記の基準に該当する場合、規則案では、政府機関に委託してセキュリティアセスメントおよびレビューを行うことをネットワーク事業者に要求している。
• 500,000人を超える人の個人情報の移転。
• 1,000ギガバイトを超えるデータの移転。
• 核施設、化学生物学、国防または軍事、公衆衛生、大型工事プロジェクト、海洋環境、機密情報にまつわる地理情報の分野に関するデータの移転。
• CII事業者のシステムの脆弱性およびセキュリティ防護策に関するネットワークセキュリティ情報の移転。
• CII事業者による海外受領者に対する個人情報または重要データの提供に関するデータの移転。
• 国の安全および公共の利益に潜在的に影響を及ぼすその他の移転、または業界の主務官庁または監督官庁によるレビューを必要とする移転。

これらの基準は、政府によるレビューを誘因する閾値が比較的低く、苦情の原因となっており、政府のアセスメントは、完了までに60日程度かかるため、ビジネス上の日常業務が行き詰まることが予想される。[5]

年次アセスメント
セキュリティアセスメントの実施に加え、個人情報を移転するネットワーク事業者は、国外移転のセキュリティレビューも年1回以上行い、 各主務官庁または監督官庁にアセスメントレポートを提出しなければならない。(i)データ受領者を変更する場合、(ii)国外に移転するデータの目的、範囲、量、タイプに大きな変更がある場合、または(iii)データ受領者または国外データ移転で重大な「セキュリティ事件」(定義されていない用語)が発生した場合、再アセスメントをさらに高頻度で行わなければならない。

「禁止された輸出」の定義
規則案の第9条では、データの移転が禁止される三つの状況について定めている。

• データ主体が同意していない場合、またはデータ主体の利益を侵害する可能性がある場合。データ主体が同意した場合でも、ネットワーク事業者は、目的、範囲、内容、受領者、受領者の居住国をデータ提供者に明示的に通知することが期待される。
• 国外移転が、国の政治体系、経済、科学技術、もしくは国防にセキュリティリスクをもたらす場合、または社会もしくは公共の利益を損なう恐れがある場合。
• 中国政府が必要とみなすその他の状況。

これらの条件は、恣意的な性質のものであり、一貫性をもって適用されるか、どの範囲まで一貫性をもって適用されるかについて、不確実性が残る。

潜在的な影響
新法が2017年6月1日に施行される前に、あらゆる業界および部門の多国籍企業は、可能性のある大きな変化について、データセキュリティシステムおよびプライバシー方針を綿密にレビューする必要がある。規則案によって拡大されるデータローカリゼーションの新たな要件に適合するよう、特に注意しなければならない。このことは、例えば、中国の個人情報を隔離し現地で保管するためのネットワークシステムの確立を意味し、場合によっては費用がかかる。企業は、規則案の基準を用いて、国外データ移転について正当な業務を行うことができるか否かの検討も開始すべきである。

いずれにせよ、新法およびそれに対応する規則案をどのように解釈するかについて、不明確さおよび不確実性を回避するため、新法における相当漠然とした表現に関して企業が理解できるための、中国政府からの詳細なガイドラインが必要である。新法および規則案の両方とも、法的な説明の余地がかなりある。
規則案の影響を受ける可能性のある企業は、2017年5月11日の期限までに、各労働組合または政府職員に、意見を提供することを検討してもよい。


1 新法第76条(1)項、(3)項参照。
2 新法第31条参照。
3 新法第48条はさらに、「電気情報流通サービス事業者」及び「アプリケーションソフトウェアダウンロードサービス事業者」-いずれも定義されていない語であるが-に対し、「セキュリティ管理義務を履行する」義務を課している。誰がこの規定の対象となるか、及びいかなる特定の実質的責任の遵守が義務付けられるのかについて理解するためには、中国当局からのさらなる手引きが必要である。
4 新法第21条(1)項から(4)項までを参照。
5 規則案第10条参照。

オリジナル(英語)版:Jones Day White Paper " China's New Cybersecurity Law and Draft Data Localization Measures Expected to Burden Multinational Companies"

タイトル掲載雑誌発行日
ジョーンズ・デイ・ホワイトペーパー:中国の新しいサイバーセキュリティ法及びデータローカリゼーション規則草案が国際的企業に与える影響ジョーンズ・デイ・ホワイトペーパー2017年5月

担当弁護士

パートナー :高橋 美智留

アソシエイト :門松 慎治