皆さん、中国ビジネスを展開する上で、法律の適用範囲について悩んだことはありませんか?
中国でビジネスを展開する日本企業にとって、中国のサイバーセキュリティ法は避けて通れない重要な法律です。
今回は、中国のサイバーセキュリティ関連法の適用範囲について、詳しく解説します。特に注目すべきは、一部の法律が中国国外でも適用される可能性があることです。
はじめに
三つの重要法律を理解する
中国のサイバーセキュリティ規制の核心は以下の3法です:
- サイバーセキュリティー法(2017年施行)
- データセキュリティー法(2021年施行)
- 個人情報保護法(2021年施行)
サイバーセキュリティ法の規制対象範囲
中国サイバーセキュリティ法は、想像以上に広範囲に適用されます。日本企業であっても、以下のような活動を行う場合は対象となる可能性が高いです:
- 中国向けのウェブサイトを運営している
- 中国の顧客データを扱っている
- 中国国内にサーバーを設置している
- 中国国内で製品やサービスを提供している
あなたの会社は何者?:5つの顔を持つ規制対象
さて、これらの法律はいったい誰を対象としているのでしょうか?
実は、以下の5つの顔を持つ企業が主な対象となります:
-
- ネットワーク運営者
-
- 重要情報インフラ運営者
-
- ネットワーク製品・サービス提供者
-
- データ取扱者
-
- 個人情報取扱者
「うちはIT企業じゃないから関係ない」なんて思っていませんか?
実は、ウェブサイトを運営しているだけでも「ネットワーク運営者」に該当する可能性があるのです。自社がどの分類に当てはまるか、しっかり確認しましょう。
1. サイバーセキュリティー法:中国国内限定だが要注意
サイバーセキュリティー法は、主に中国国内のネットワーク関連活動を対象としています。具体的には:
- ネットワークの構築・運営・維持・使用
- サイバーセキュリティーの監督・管理
域外適用の規定はありませんが、中国に子会社や拠点がある日本企業は、この法律の対象となる可能性が高いです。
2. データセキュリティー法:域外適用にも要注意
データセキュリティー法の適用範囲は以下の通りです:
域内適用:
- 中国国内で行われるデータの取扱活動
- その安全に対する監督・管理
域外適用:
中国国外で行われるデータ取扱活動が、以下のいずれかに該当する場合
- 中国の国家安全を侵害
- 中国の公共利益を侵害
- 中国の公民・組織の合法的権益を侵害
つまり、日本国内での活動であっても、中国の利益に影響を与える可能性がある場合は、この法律の対象となる可能性があります。
3. 個人情報保護法:越境データ移転に厳しい規制
個人情報保護法の適用範囲は以下の通りです:
域内適用:
- 中国国内における自然人の個人情報取扱活動
域外適用:
中国国外における中国国内の自然人の個人情報取扱活動で、以下のいずれかに該当する場合
- 中国国内の自然人への商品・役務の提供を目的としている
- 中国国内の自然人の行為を分析または評価している
- 法律または行政法規の定めるその他の状況
この法律は、特に日本企業が注意すべき点が多いです。例えば、中国の消費者向けにサービスを提供している場合や、中国人従業員の情報を日本で管理している場合などが該当する可能性があります。
三法の適用範囲表
| 法律名称 | 域内適用 | 域外適用 |
|---|---|---|
| サイバーセキュリティー法 | 中国国内におけるネットワークの構築・運営・維持・使用およびサイバーセキュリティーの監督・管理 | 規定なし |
| データセキュリティー法 | 中国国内で行われるデータの取扱活動およびその安全に対する監督・管理 | 中国国外で行われるデータ取扱活動が、中国の国家の安全・公共の利益または公民・組織の合法的な権益を侵害したとき |
| 個人情報保護法 | 中国国内における自然人の個人情報取扱活動 | 中国国外における中国国内の自然人の個人情報取扱活動に、次の各号に掲げる状況の一があったとき: (1) 中国国内の自然人への商品・役務の提供を目的としているとき (2) 中国国内の自然人の行為を分析または評価しているとき (3) 法律または行政法規の定めるその他の状況 |
【三法の主管部門に関する表】
| 機構の名称 | サイバーセキュリティー法 | データセキュリティー法 | 個人情報保護法 |
|---|---|---|---|
| 中央国家の安全指導機構 | – | ・「データセキュリティー法」に基づき設置された専門的機構 ・国のデータセキュリティー業務に関する意思決定および統括 |
– |
| 国家インターネット情報部門 | サイバーセキュリティー業務および関連の監督管理業務の統一的な計画・調整 | サイバーセキュリティーおよびデータセキュリティーの統括・協調・関連監督管理 | 個人情報保護業務および関連監督管理業務の統括・調整 |
| 関連業界主管部門 | 各自の職責の範囲内でサイバーセキュリティー、データセキュリティーおよび個人情報の保護および監督管理 | ||
| 公安機関・国家の安全機関 | 各自の職責の範囲内でサイバーセキュリティー、データセキュリティーおよび個人情報の保護および監督管理 | ||
| 地方政府および部門 | 職責は、国の関連規定に基づき確定する | 自らの地区・部門の業務において収集および発生したデータおよびデータセキュリティーの管理 | 職責は、国の関連規定に基づき確定する |
中央政府から地方政府まで、様々な機関が監督に関わっています。
このため、企業は複数の機関との対応が必要になる可能性があります。
サイバーセキュリティ法の罰則
中国当局は法令違反に対して厳しい姿勢を取っており、罰則も決して軽くありません。以下の表をご覧ください:
はい、資料の22ページまでに掲載されている表を全て記載します。
- 三法の主管部門に関する表
| 機構の名称 | サイバーセキュリティー法 | データセキュリティー法 | 個人情報保護法 |
|---|---|---|---|
| 中央国家の安全指導機構 | – | ・「データセキュリティー法」に基づき設置された専門的機構 ・国のデータセキュリティー業務に関する意思決定および統括 |
– |
| 国家インターネット情報部門 | サイバーセキュリティー業務および関連の監督管理業務の統一的な計画・調整 | サイバーセキュリティーおよびデータセキュリティーの統括・協調・関連監督管理 | 個人情報保護業務および関連監督管理業務の統括・調整 |
| 関連業界主管部門 | 各自の職責の範囲内でサイバーセキュリティー、データセキュリティーおよび個人情報の保護および監督管理 | ||
| 公安機関・国家の安全機関 | 各自の職責の範囲内でサイバーセキュリティー、データセキュリティーおよび個人情報の保護および監督管理 | ||
| 地方政府および部門 | 職責は、国の関連規定に基づき確定する | 自らの地区・部門の業務において収集および発生したデータおよびデータセキュリティーの管理 | 職責は、国の関連規定に基づき確定する |
- 三法に伴う法的リスクの表
| 法律の名称 | 対象 | 行為 | 是正を命じ、警告を与える | 是正を拒絶し、情状が重大であり、サイバーセキュリティーに危害を及ぼす等の結果をもたらした場合における罰金 | 直接責任を負う主管者およびその他の直接責任者に対する罰金 | 関連業務の一時停止、営業停止・整理、ウェブサイトの閉鎖、業務許可または営業許可証の取り消しを命ずる | 特別なペナルティ |
|---|---|---|---|---|---|---|---|
| サイバーセキュリティー法 | ネットワーク運営者 | サイバーセキュリティー等級保護義務を履行しないとき。 | ○ | 1~10万元 | 5,000~5万元 | – | – |
| サイバーセキュリティー事件緊急対応プランを制定しないとき。 | ○ | 1~10万元 | 5,000~5万元 | – | – | ||
| 実名制義務を履行しないとき。 | ○ | 5~50万元 | 1~10万元 | ○ | – | ||
| 違法にサイバーセキュリティー認証、検査等の活動を実施したとき、またはシステムのバグ、インターネット攻撃等のサイバーセキュリティー情報を対外的に公布しないとき。 | ○ | 1~10万元 | 5,000~5万元 | ○ | – | ||
| 個人情報を侵害したとき。 | ○ | 違法所得の1~10倍(違法所得がない場合には100万元以下) | 1~10万元 | ○ | – | ||
| ユーザー発布情報に対する管理を強化しなかったとき。 | ○ | 10~50万元 | 1~10万元 | ○ | – | ||
| 法執行協力義務を履行せず、またはその履行を拒否したとき。 | ○ | 5~50万元 | 1~10万元 | – | – | ||
| 重要情報インフラ運営者 | サイバーセキュリティー保護義務を履行しないとき。 | ○ | 10~100万元 | 1~10万元 | – | – | |
| データ現地化の要求に違反したとき。 | ○ | 5~50万元 | 1~10万元 | ○ | – | ||
| 国の安全審査規定に違反したとき。 | ○ | 購入金額の1~10倍 | 1~10万元 | – | – | ||
| ネットワーク製品およびサービス提供者 | 製品およびサービスの安全に関する義務に違反したとき。 | ○ | 5~50万元 | 1~10万元 | – | – | |
| あらゆる個人および組織 | サイバーセキュリティーに危害を及ぼす活動に従事したとき。 | – | 個人:5~50万元(情状が重大な場合には10~100万元) 単位:10~100万元 |
5~50万元(情状が重大な場合には10~100万元) | – | – | |
| データセキュリティー法 | データ取扱者 | データセキュリティー保護義務を履行しなかったとき。 | ○(5~50万元の併科) | 50~200万元 | 1~10万元(情状が深刻な場合には5~20万元) | ○ | – |
| 国家核心データ管理制度に違反したとき。 | – | 200~1000万元 | – | ○ | – | ||
| データの越境移転規制に違反したとき。 | ○(10~100万元の併科) | 200~1000万元 | 1~10万元(情状が深刻な場合には10~100万元) | ○ | – | ||
| データ取引仲介サービスを行う機構が義務に違反したとき。 | ○ | 違法所得の1倍~10倍 違法所得がないときは10~100万元 |
1~10万元 | ○ | – | ||
| データの取り調べに対する協力の義務に違反したとき。 | ○(5~50万元の併科) | – | 1~10万元 | ○ | – | ||
| 中国国外の公的機関へのデータ提供規制に違反したとき。 | ○(10~100万元の併科) | 200~1000万元 | 1~10万元(情状が深刻な場合には5~50万元) | ○ | – | ||
| 個人情報保護法 | 個人情報の取扱者 | 個人情報を違法に取り扱ったとき。 個人情報の取扱時における法定の個人情報の保護義務を履行しなかったとき。 |
○ | 100万元以下(5000万元以下または前年度の売上高の百分の五以下) | 1~10万元(情状が深刻な場合には10~100万元) | ○ | ・アプリに対するサービス提供の一時停止または終了の命令 ・直接の責任者に対する一定期間中の関係企業における董事・監事・高級管理職員・個人情報保護責任者の担当の禁止 ・信用記録文書への組入れおよび公示 |
この表を見ると、罰金額の大きさや業務停止などの厳しい処分が目を引きます。特に注目すべきは、個人情報保護法違反の場合、最大で前年度売上高の5%もの罰金が科される可能性があることです。これは、EUのGDPRと同等レベルの厳しさと言えます。
罰則:違反すれば会社の存続にも関わる
これらの規制に違反した場合の罰則は決して軽くありません。最悪の場合、以下のような厳しい処分を受ける可能性があります:
- 最大で前年度売上高の5%の罰金
- 事業停止命令
- 営業許可証の取り消し
さらに、個人情報保護法では、個人の権利侵害に対して民事訴訟を提起できる規定もあります。
企業が対応すべき法令遵守事項
法令遵守は複雑ですが、主に以下の点に注意が必要です:
a) サイバーセキュリティ等級保護制度の実施
b) 個人情報保護
c) 重要データの管理
d) セキュリティ管理体制の構築
e) ネットワーク製品・サービスの安全性確保
データの三階級:扱い方を間違えると大変なことに
中国では、データを3つのレベルに分類しています:
- 一般データ
- 重要データ
- 核心データ
特に「重要データ」と「核心データ」の取り扱いには要注意。「重要データ」は中国国内での保存が義務付けられており、「核心データ」に至っては取り扱いに厳しい制限があります。自社が扱うデータがどの分類に当たるか、慎重に見極める必要があります。
特に、データの取り扱いに関しては、以下の表を参考に、慎重な対応が求められます:
核心データと重要データの比較表
| 項目 | データセキュリティー法 | 工業情報化分野データセキュリティー管理弁法(試行・意見募集稿) | 自動車データセキュリティー管理若干規定(試行) |
|---|---|---|---|
| 適用範囲 | 全国 | 工業全体、通信業 | 自動車業 |
| 施行状態 | 2021/9/1 施行 | (パブコメ中、未施行) | 2021/10/1 施行 |
| 核心データ | 国家安全、国民経済の命脈、重要な国民生活、重大な公共利益等にかかわるデータは、国家核心データに属し、これに対してさらに厳格な管理制度を実行する。 | (上記)危害の程度が次のいずれか該当するデータ: ① 政治、国土、軍事、経済、文化、社会、科学技術、ネットワーク、生態、資源および原子力安全等に対する重大な脅威を成し、中国国外の利益、生物、宇宙、極地、深海、人工知能等の重点分野における国家安全に関連するデータセキュリティーに著しく影響するもの。 ② 工業、通信業界およびその重要基幹企業、重要情報インフラ、重要資源等に深刻な影響をもたらすもの。 ③ 工業の生産運営、通信とインターネットの運行とサービス等に重大な損害を与え、広範囲な操業停止・生産停止、大規模なネットワークとサービスの麻痺、大量な業務処理能力の喪失等を引き起こすもの。 ④ 工業情報化部が評価により確定するその他の核心データ。 |
規定なし |
| 重要データ | 国家データセキュリティー業務調整スキームは、関連部門と調整した上で重要データ目録を策定する。
各地区、各部門はデータ分類分級保護制度に基づき、本地区、本部門および関連業界・分野の重要データの具体的な目録を確定し、目録に載せられるデータに対して重点的に保護する。 |
(上記)危害の程度が次のいずれか該当するデータ: ① 政治、国土、軍事、経済、文化、社会、科学技術、ネットワーク、生態、資源および原子力安全等に対する脅威を成し、中国国外の利益、生物、宇宙、極地、深海、人工知能等の重点分野における国家安全に関連するデータセキュリティーに影響するもの。 ② 工業、通信業界の発展、生産、運行および経済利益等に影響をもたらすもの。 ③ 重大データセキュリティー事件または生産安全事故を引き起こし、公共利益または個人・組織の合法的権益に深刻な影響をもたらし、その社会的悪影響が大きいもの。 ④ カスケード効果を著しく引き起こし、その影響の範囲が複数の業界、区域もしくは業界内の複数の企業におよび、または業界の発展、技術の進歩、業界の状況等に対して深刻な影響をもたらすもの。 ⑤ データの復元または悪影響の解消のための代償が大きいもの。 ⑥ 業界の監督管理部門が評価により確定するその他の重要データ。 |
重要データとは、ひとたび改ざん、破壊、漏えいまたは違法取得、違法利用されれば、国家安全、公共利益または個人・組織の合法権益を害しうるデータをいい、それには次が含まれる: ① 軍事管理区、国防科学工業等の国家秘密にかかわる単位、県級以上の共産党・政府機関等の重要で機微な区域の地理情報、人・車両の流れのデータ。 ② 交通量、物流等の経済運行状況を反映するデータ。 ③ 自動車充電ネットワークの運行データ。 ④ 人間の顔、ナンバープレート等の車外の映像・画像データ。 ⑤ 10万人以上の個人情報。 ⑥ 国家インターネット情報部門および発展改革、工業情報化、公安、交通運輸等の国務院関連部門の指定する国家安全、公共利益または個人・組織の合法権益を害しうるその他のデータ。 |
| (一般)データ | (上記以外のデータ) | (データが改竄、破壊、漏えいまたは違法取得、違法利用されれば、国家安全、公共利益または個人・組織の合法的権益にもたらす)危害の程度が次のいずれか該当するデータ: ① 公共利益または個人・組織の合法的権益に対する影響が小さく、社会的悪影響が小さいもの。 ② 影響されるユーザー数と企業数が比較的少なく、生産・生活区域の範囲が小さく、持続時間が短く、企業の経営、業界の発展、技術の進歩、業界の状況等への影響が小さいもの。 ③ データの復元または悪影響の解消のための代償が小さいもの。その他重要データ、核心データ目録に載せられていないデータ。 |
規定なし |
この表から、データの重要度によって求められる対応が異なることが分かります。例えば、自動車業界では10万人以上の個人情報が「重要データ」とみなされ、特別な管理が必要になります。
個人情報保護:中国版GDPRはここまで厳しい
個人情報保護法は、EUのGDPRを彷彿とさせる厳しい規制です。特に注目すべきは「個人機微情報」の取り扱い。生体認証データや宗教信仰など、センシティブな情報の取り扱いには細心の注意が必要です。
また、個人情報の越境移転にも厳しい規制があります。例えば、重要情報インフラ運営者や一定量以上の個人情報を取り扱う事業者は、個人情報を国外に移転する際に、政府機関によるセキュリティ評価を受ける必要があります。
サイバーセキュリティ等級保護制度:自社のレベルを知る
この制度では、企業は自社のネットワークシステムのセキュリティレベルを評価し、それに応じた保護措置を講じる必要があります。レベルは1級から5級まであり、レベルが上がるほど求められる対策も厳しくなります。
例えば、3級以上のシステムを運用する場合、以下のような特別な義務が課せられます:
- 特定の者に対する安全性の経歴の審査
- サイバーセキュリティ観測・早期警報・情報通報制度の確立
- 毎年一度のサイバーセキュリティ等級測定評価の実施
最新の動向と注意点
- 越境データ移転規制の強化:中国国内で収集したデータの国外移転には、厳格な審査が必要になっています。
- アプリの規制強化:個人情報の過剰収集や不適切な利用を行うアプリへの取り締まりが強化されています。
- サイバーセキュリティ審査制度:重要情報インフラ事業者が製品やサービスを調達する際、国家安全に影響を与える可能性がある場合は審査が必要です。
具体的な事例
ある日系製造業企業が、中国の工場で収集した従業員データを日本の本社サーバーに送信していたところ、当局から指摘を受けました。この企業は、データの現地保存と越境移転の安全評価実施を求められ、システム改修に多額の費用がかかることになりました。
このような事態を避けるためにも、事前の対策が重要です。
まとめ:日本企業が取るべき対応
-
自社の事業が上記3法のどの適用範囲に該当するか、慎重に確認する。
-
中国国内の活動だけでなく、日本国内での活動が中国法の対象となる可能性も考慮する。
-
特に個人情報の取り扱いには細心の注意を払い、越境データ移転に関する規制を遵守する。
-
不明な点がある場合は、専門家に相談し、リスクを最小限に抑える。
-
法律の改正や新たな規制の導入に常に注意を払い、適時に対応する。