中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その4完)

(4)重要データの国境を越えた移転

　しかし、重要なデータの国境を越えた移転は、異なって評価される。 CACは、「重要なデータ」を完全には定義していないが、それは中国の「中华人民共和国国家安全法」 (筆者注9)の下で徹底した概念である中国の国家安全保障に関するデータとして一般に理解されている。 (筆者注10) 

 　他の2つの分野における中国の法律および規制は、どのデータがその範囲に入るかを明確に判断することは困難であるが、当局がこの用語をどのように解釈するかについての手がかりを提供する可能性がある。 「重要なデータ」の適用範囲の近い将来の評価は、ケースバイケースで行われなければならない。 

　最初の関連する法律は、国家秘密を守るための中国の法律（中华人民共和国保守国家秘密法、以下「国家秘密法」という）である。(筆者注11) この法律およびその実施規則の下で、「国家の秘密」は中国を離れることが禁じられている。国家秘密法は、例えば、国防建設と軍隊の活動、外交・外交活動、国家安全保障に関連する活動を含む「国家の秘密」とみなされるカテゴリーの非排他的リストを提供する調査を定める。過去において政府が「国家の秘密」と考えた情報の例としては、特定の政府統計、インフラストラクチャーに関する地理的データ、特定の法執行活動および特定の天然資源に関する情報が含まれる。 

　第2番目の規則は、中国の輸出管理制度に関するものである。他の多くの国と同様に、中国は、軍需品、軍事用品、その他の二重使用品や技術の輸出を管理するシステムを維持している。 輸出管理制度が対象とする製品や技術に関連するデータの移転は禁止される予定であり、厳格な監視の対象となる予定である。 

(5)グローバルなデータ転送にかかるコンプライアンス戦略(対中国においてどのように法的に適合させるか？)

 中国が国境を越えたデータの流れを規制する国のグループに加わったことで、法律第37条の対象となる可能性のある企業のコンプライアンスの問題がさらに深刻化する。 

　ケースバイケースの評価を受ける可能性が高い「重要なデータ」の移送を除いて、中国市民のデータを定期的に中国内外に転送する企業は、我々が中国の国家機関からの公式なガイダンスがまだ不足しているにもかかわらず、潜在的な中国政府の要件を守らねばならない。

 　例えば、企業が最初にデータ収集と中国内外への流入をよく理解していることが重要である。次に、中国の新しい要求要件を見越して、特定の側面で既存のデータ保護コンプライアンス・プログラムを補完する必要があるかどうかを評価すべきである。 

　中国を越えて、グローバルなデータ転送戦略の実施を検討する際にも、潜在的な中国の要求事項を考慮に入れることを勧める。将来の中国の移転メカニズムと他の制度との間に（重要な）相違がある可能性を排除することはできないが、そのようなメカニズムは、BCR(Binding企業規則)やCBPR(Cross Borderプライバシールール)のような「現代の」データ移転制度の特定の原則と特徴をよく共有するかもしれない。 したがって、外国企業は同時に、中国および他の管轄地域の規制要件を同時に満たす単一のグローバルなデータ・ガバナンス・プロセスを展開すべきである。 オフショア処理のために中国のデータを後で転送する必要が生じた場合には、中国人のために複雑なデータ保護ポリシーを採用することを余儀なくされるよりも、事前の投資がより良い戦略になる可能性がある

Ⅴ.中国のサイバースペース管理局(CAC)等がネットワーク製品の第一次バッチをリリース 

　CAC( 国家互联网信息办公室)、産業・情報・技術部(中华人民共和国工业和信息化部)、公安部(中华人民共和国公安部)、中国国家认证认可监督管理委员会 (筆者注12)連名のカタログ公告の内容につき、Dechert LLPの解説文「中国のサイバースペース管理局(CAC)がセキュリティレビューの対象となるネットワーク製品の第一次のバッチをリリース」が詳細に内容を引用しているので仮訳する。なお、言うまでもないがカタログ内容はIT専門用語が頻繁に出てくる。筆者が理解している範囲で備考欄に注記を加えた。

 

***************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その3)

Ⅳ．サーバーセキュリティ法の規則案(CCII Regulation)の内容と問題点

(1) Norton Rose Fulbright LLP のCII Regulationの解説「China Seeks Comment on Draft Regulation on Critical Information Infrastructure」が”7月10日付けCII Regulation”の内容を体系的に解説しているので、以下、仮訳する。 

① CIIの規制当局 (Regulatory Authorities of CII)

 CIIの下では、CACは重要情報インフラストラクチャ（CII）のセキュリティ保護の計画と調整を担当する。公安部(Public Security Authority)、国家安全部(National Security Authority)　(筆者注3)、国家保密局( State Secrets Authority )(筆者注4)、国務院の 国家密码管理局(.State Cryptography Administration, i.e. the Office of the Central Leading Group for Cryptography Work (中央密码工作领导小组办公室) Wikipedia) (筆者注5)は、CIIの規制当局となる。 郡レベル以上の地方自治体の関連部門は、CIIに関連してセキュリティ保護業務を実施する責任を負う。  

② CIIの範囲 

 CII規制に含まれるCIIの範囲は、サイバーセキュリティ法上のCIIの範囲に比べて広い。 以下の部門は、CII規則案で具体的に言及されている。 

1. 政府機関、エネルギー、金融、交通、水質保全、医療、教育、社会保障、環境保護および公益事業。
2. 通信ネットワーク、ラジオおよびテレビネットワーク、インターネットおよびその他の情報ネットワーク、クラウドコンピューティング、大容量データおよびその他の大規模な公共情報ネットワークサービス。 
3.  国防科学技術、大規模機器、化学薬品、食品および薬物。
4.  ラジオ局、テレビ局、通信社(news agencies)。 

　上記の多くのセクターは、ヘルスケア、教育、環境保護、クラウドコンピューティング、ビッグデータなどのサイバーセキュリティー法では言及されていなかった。CII規則の下でのCIIの広範な範囲は、中国の一部の事業が次のような適用可能性を高める可能性がある。（1）CII事業者とみなされるもの、（2）中国法に基づくCII事業者の厳しい法的要件に従う。  

　重要な点は、CAC、通信当局および公安当局は、CIIの識別のためのガイドラインを共同で作成し公表する点である。産業監督当局は、これらのガイドラインに基づいて各部門のCIIを特定し、その結果を関係当局に報告する。各業界の専門家はこれらのプロセスの途上で相談を受ける。  

③ II事業者が購入する製品やサービスの追加要件  

　 CII規則は、中国の国家安全保障に脅威を与えるとみなされるCII事業者が購入した製品やサービスのサイバーセキュリティレビューの観点から、サイバーセキュリティ法の要件に繰り返し言及している。 これらの製品・サービスは、５．で述べる 2017年6月1日付け（カタログ）のCACおよび他の当局によって発行された主要なネットワーク機器および専用ネットワークセキュリティ製品のカタログ（最初のバッチ）に掲載される。 サイバーセキュリティレビューは、2017年5月2日にCACが発行したネットワーク製品およびサービス（トライアル実施）のセキュリティ評価に関する措置に基づいて実施されるべきである。 

 　CII規則では、CII事業者は、オンラインアプリケーションに先立ってCII事業者が使用するアウトソーシングされたシステム、ソフトウェア、および寄贈された/贈与されたネットワーク製品に関するセキュリティ検査とテストを行う必要がある。これにより、カタログの範囲が拡大され、カタログに掲載されていないネットワークシステムや製品がサイバーセキュリティレビューの対象となる可能性がある。CII事業者は、ネットワーク製品/サービスの使用に関して実質的なリスクが特定されている場合には、是正措置を講じ、管轄当局に報告することが求められる。  

 　CII規則は、またCIIの運用と保守が中国の領土内で行われることを要求している。 事業上の理由で遠隔保守が必要な場合、遠隔保守に着手する前にCII事業者はこれを産業監督官庁及び公安機関に報告しなければならない。CII規制が現在の形態で発行されている場合、このローカリゼーション要件は、中国内で実施されなければならないため、外国企業（クラウドサービスプロバイダーなど）がCIIの運営にサービスを提供することを禁止する可能性がある。しかし、現在言及されているように、この条項は完全には明確ではなく、その意味合いはまだ残っている。 

 CII規則は、CACと国務院の関連部門が、CIIに対して以下のサービスを提供する事業者に特定の要件を共同で発行することを想定している。 

① サイバーセキュリティ検査、テストおよび評価

② システム脆弱性、コンピュータウィルス、サイバー攻撃を含むサイバーセキュリティ脅威情報のリリース

③ クラウドコンピューティングサービスと情報技術アウトソーシングサービス。なお、これらの要件がどのようなものになるのか、いつ公開されるのかは不明である。

④ CIIのサイバーセキュリティ保護担当者  

　CII規則の下では、CIIオペレータの責任者がCIIのセキュリティ保護の第一の責任を引き受ける。CII事業者は、CIIのサイバーセキュリティ保護の責任者を任命することができ、その職務には次のものが含まれる。 

① サイバーセキュリティ・ルールとシステム、運用手順の策定を組織し、同じ手順の実施を監督する。 

② 主要職種の職員の技能評価を調査する。 

③ サイバーセキュリティ教育及び訓練プログラムの策定及び実施を組織する。 

④ サイバーセキュリティ検査と緊急訓練を組織し、サイバーセキュリティ・インシデントを処理する。

⑤ 重要なサイバーセキュリティの問題と事件・出来事を関係当局に報告する。  

　CII規則は、またCIIのサイバーセキュリティの主要職の技術職員にライセンス要件を導入する。CACと中国の人事・社会保険局は、これらの免許要件に関する特定の規則をさらに発行する。  

 CIIのモニタリング、緊急事態対応および検査の枠組み  

　CII規制は、セキュリティ保護CIIのための以下の3つの主要システムの枠組みを概説している。

① モニタリング、早期警告、情報共有 

② 緊急時対応と処分

③ 試験、試験、評価 

  CACは、産業規制当局または他の監督当局と協力して、CIIの保護のためにこれらの3つのシステムを確立し、実施する。 

　 CII規則は、工業監督当局がCII事業者に対して以下の点を評価するための恣意的な査察を行う際の措置との関連で、より詳細な情報を提供している。（1）CIIに関連するセキュリティリスク。（2）CII事業者による法令遵守（サイバーセキュリティー法第39条に規定）に関す次の点を明記する。

① CII事業者の関係者に説明を要求する。

② サイバーセキュリティの保護に関する文書と記録を見直し、入手し、コピーする。

③ サイバーセキュリティ管理システムの策定と実施、CIIのサイバーセキュリティ技術措置の計画、構築、運用を検証する。

④ 検査ツールを利用するか、サイバーセキュリティサービス・プロバイダーに技術検査を実施する権限を与える。

⑤ CIIの運営者と合意した他の必要な措置を実施する。 

⑥ 国家の秘密と暗号化法規を遵守 する。 

  CII規則は、CIIの国家秘密情報の保管と処理が中国の国家秘密法を遵守しなければならず、CIIの暗号の使用と管理は中国の暗号法律（ Cryptography Lawが公表された2017年4月13日に国家商用暗号管理局の官報によって公表された）。 さらに、軍事CIIの保護のための規制は、中国中央軍事委員会によって別途発行される。 

＊潜在的な示唆すべき点 

　 CII規制は、CII関連の規定に関する更なる詳細を提供することによりサイバーセキュリティ法を実施するためのもう1つの重要なステップである。  

　しかし、CII規制の下では、CIIの範囲は広範な分野に及んでおり、CII規制は具体的には次のようなものを指す。(1）中国当局によって策定され発行されるCII識別ガイドライン。  （2）産業規制当局またはその他の監督当局によって実施されるCII識別プロセス。 そのような詳細を後でこのように残すと、CIIを構成するものを決定する際にあいまいさや不確実性が生じる可能性があります。 また、CIIの識別プロセスが完了するまで、サイバーセキュリティー法のCII規制およびCII関連の規定が実際に実施されることは考えにくい。  

　 CII規則はまた、CII事業者が購入した製品/サービスに一定の追加要件を課している。これは、CII事業者のサービスプロバイダに大きな影響を与える可能性がある。 したがって、中国の企業は、現在の製品、サービス、中国の顧客を見直し、CII規則の下でこれらの追加的な義務/要件を受けるリスクを評価することが推奨される。 

(2) 前述したCovington＆Burling LLPの特別弁護士(special counsel) Yan Luo 氏が、新サイバーセキュリティ法で提案された変更点を説明するとともに、海外の企業が新しい中国のデータ移転要件に準拠するために取るべきデータ移転に関する法令遵守戦略について2017年2月14日 付けEURObizで以下のとおり解説を加えているので、以下、一部抜粋のうえ仮訳する。((1)から(2)の内容は割愛する) 

(3)中国国民の個人情報の国境を越えた移転

　CACは、外国人、組織または個人が中国市民の個人情報を「喜んで守る」能力を持っているかどうかをどのように評価するかについての詳細はまだ述べていない。CACが、近い将来、特定の国が適切な水準の保護を提供し、自動的にそのような国へのデータの移転を許可できることをCACが認識することも示していない。 

　CACは、中国以外の他の国のデータ保護体制を認識していないため、CII事業者の約束や契約上の義務に依拠したデータ転送メカニズムを考案して、中国以外での個人情報の保護を十分に確保する可能性がある。現在のところ具体的な内容が不明であるにもかかわらず、このメカニズムの少なくともいくつかの要素は、「欧州連合（EU）のモデル契約条項」 (筆者注6)および「Binding企業規則 （BCR）」 (筆者注7)またはアジア太平洋経済協力（APEC）の「Cross Borderプライバシールール （CBPR）システム」 (筆者注8)等との比較することとなろう。 

　また、CACは、企業が中国国外の中国人の個人情報を堅固に保護する必要がある場合、どのような契約や会社の社内規則や手続きが政府認証機関の要件を満たすことができるかについての詳細を提供していない。 1つの潜在的な認証基準(ベンチマーク)は、CACによって提案された新しい国家規格である情報セキュリティ技術 - 個人情報セキュリティ規格仕様 （ 以下「基準(Standard)」という ）である 。この基準は、情報の収集、保管、使用、移転（中国内での）および個人情報の開示を規制する包括的なデータ保護の枠組みを確立し、 経済協力開発機構（OECD）のプライバシーに関する原則 。 法的拘束力はないが、そのような国家基準は、中国の規制当局が個人情報保護のベストプラクティスと考えるかもしれないものについて、企業に有用な洞察を提供することができる。 企業が中国以外の個人情報の取り扱いが規格に明記されている要件を満たしていることを確実にするならば、データが処理される場所であれば、中国人の個人情報の保護が適切であると主張することは容易である。

 *************************************************************

 (筆者注3) 国務院を構成する行政機関の1つ。 

(筆者注4) 中华人民共和国保守国家秘密法の本文

同法は、1988年9月5日第7回全国人民代表大会常任委員会第3回会合で採択され、1988年9月5日に中華人民共和国首相令第6号によって公布、1989.年5月1日施行）、改正法(中华人民共和国保守国家秘密法(2010修订))が2010年4月29日公布、2010年10月１日施行。 

(筆者注5) 中国の認証・認定業務の統一的な指導と監督管理を行う国家機関で、マネジメントシステム認証機関、製品認証機関等の認定を行う主管機構。 

(筆者注6) EUのモデル契約条項に関する詳しい解説としては、①欧州委員会・司法・情報保護担当の解説「Model Contracts for the transfer of personal data to third countries」、②2010年3月7日筆者ブログ「欧州委員会が非EU/EEA国のデータ処理者への個人情報移送に関する改正標準契約条項を決定（その１）、同(その2完)」、③マイクロソフトの「EU標準契約条項」の日本語解説等があげられる。 

(筆者注7) 「Binding企業規則 （BCR）に関する詳しい解説としては、2015年11月8日の筆者ブログ「欧州委員会はEU司法裁判所のシュレムス事件判決（セーフ・ハーバー協定の無効）を受けたガイダンス等を発布」を参照されたい。 

(筆者注8) About the APEC CBPR system 参照。なお、わが国は2014年4月28日「日本国政府は、米国、メキシコに次いで、APEC越境プライバシールールシステムへの参加が認められた」旨リリースした。また、これを受けて2016年12月20日にわが国初のAPEC越境プライバシールールシステム（CBPRシステム）認証取得事業者が誕生した旨報じた。経済産業省「APEC-越境プライバシールール(CBPR)システム」図解参照。

************************************************************

 Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その2)

Ⅲ．中国の国境を越えたデータ移転にかかる新しいサイバーセキュリティ―立法等による法規制のあり方の大きな変化を概観

　１．Morgan、Lewis＆Bockius LLPのReport

　2017年7月17日Morgan、Lewis＆Bockius LLPは「中国、国境を越えた個人情報の移送に関する立法諸ルールを制定(China Drafts Legislative Rules Regarding Cross-border Data Transfers)」と題するレポートを公表している。

　このレポートは、CSLと(1)国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案） （具体的評価の尺度）、(2)国境を越えたデータ移転のセキュリティ評価のためのガイドライン（協議草案） （評価ガイドライン）、(3) 重要情報インフラの安全保障のための規則（協議規則案）（CII Regulation)を比較しながら実務面からみた検討課題を整理している。 

　同レポートを以下、仮訳する。 

　2017年6月1日施行の中国が最近制定した「サイバーセキュリティー法（中华人民共和国网络安全法：CSL」は、中国の重要情報インフラストラクチャー（CII）事業者が収集、生産する重要な個人情報とデータを中国内に保管することいわゆる「ローカル・ストレージ(データ・ローカリゼーション)」を要求し、また CSLは個人情報および重要なデータが中国国外の企業または個人（国境を越えたデータ移転）に提供される前に、セキュリティ・アセスメントが実施することを要求している(CSL：37条)(筆者注2-2)。中国は、CSLとともに、個人情報の国内保持(local storage)および国境を越えた個人データ移送の要件とパブリックコメントに対応するその他の法案を公表している。 CSLを受けた新しい3つの実施規則・ガイダンスとしては、以下が挙げられる。

 ① 国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案） （具体的評価の尺度）。

② 国境を越えたデータ移転のセキュリティ評価のためのガイドライン（協議草案） （評価ガイドライン）。 

③ 重要情報インフラの安全保障のための規則（協議規則案） （CII Regulation)。 

 　これらの草案は、国境を越えたデータ移送に必要なセキュリティ評価に関する詳細と同様に、CSLの下での主要概念の定義と範囲を提供する。 中国からデータを収集、移転する多国籍企業は、法案が発効した時点でデータの保管と移送に関して実施しなければならない具体的な措置を準備するために、この法律等の草案を検討し、立法動向を理解する必要がある。このレポート(LawFlash)では、以下のとおり、この規則案やガイドラインのハイライトを述べ、CL法と比較する。 

(1) ローカル・ストレージおよびセキュリティ評価要件の対象者とは？ 

　CSLはCII事業者に「個人情報」と「重要データ」の国境を越えたデータ移送に必要なローカル・ストレージとセキュリティ評価の要件のみを適用するが、評価尺度の現在の草案ではすべての「ネットワーク事業者」は一般的に義務付けられている。データに「個人情報」または「重要なデータ」が含まれている場合は、国境を越えたデータ転送のセキュリティ検証を実施する。 そのようなデータは中国国内に保存されなければならないとされる。アセスメント・ガイドライン草案は、アセスメント手続きに続き、すべての「ネットワーク事業者」に適用されるセキュリティ評価プロセスを提供する。 

　しかし、2017年5月に、CSLの実施に関する公式報道ブリーフィング中、CACのネットワークセキュリティ調整室長によると、国境を越えたデータ移転のためのローカル・ストレージとセキュリティ評価の要件は、CII事業者評価尺度が確定して公表されるまで、これは不確実なままであると述べた。 

(2) CIIの定義

　CSL第31条は、CIIを「損害、機能の喪失またはデータ漏洩の場合に、国家の安全保障、国家の福祉または国民の生計または公益を重大に危険にさらす可能性のあるインフラ」と定義している。またCSLは、CIIの例として公共サービス、情報サービス、エネルギー、交通、水道、金融、公共サービス、電子政府の分野のネットワーク事業者を含むとしているが、CIIの特別な定義は国務院による規則に委ねている。 

　CII規則(CII Regulation)は、CIIの範囲を次の特定の産業と明記している。

① エネルギー、金融、運輸、水質保全、医療、教育、社会保障、環境保護、公共事業部門の政府機関および団体 

② 通信ネットワーク、放送テレビネットワーク、インターネットなどの情報ネットワーク、クラウドコンピューティング、大規模データなどの大規模な公共情報ネットワークサービスを提供する事業体(entities)

③  国防、大型機器製造、化学工業、食品医薬品分野の科学技術などの分野の研究および製造事業体 

④ 放送局、テレビ局、報道機関などのプレス・ユニット 

　規制当局が、情報システムのデータ漏えいや機能不全が国家の安全保障、国家の福祉、国民生活および公益に影響を及ぼす可能性があると判断した場合、製造業、IT、食品、医療、医療分野の多国籍企業はそのような広い定義に含めることができる。(CII Regulation 第18条)  

(3) 「ネットワーク事業者」の定義 

　CSLにいう「ネットワーク事業者(CII Operator)」の定義は、CII事業者の定義に比べてはるかに広い。 ネットワークオペレータには、「ネットワークの所有者と管理者、ネットワークサービスプロバイダ」が含まれる。(CSL第76条) インターネットや電子メールなど、オフショアでデータを送信する中国の特定のネットワークを使用する多国籍企業は、潜在的に「ネットワーク事業者」とみなすことができる。 

(4) 個人情報と重要なデータ

　CSLの下での国境を越えたデータ転送のためのローカル・ストレージおよびセキュリティ評価要件は、「個人情報」および「重要なデータ」を保護します。継続的な法的努力は、次のとおりさらに「個人情報」および「重要なデータ」を定義する。 

i.「個人情報」の定義

　CSLの「個人情報」の定義には、名前、生年月日、ID番号、個人の生体識別情報、住所、および自然人の電話番号が含まれるが、これらに限定されない。アセスメントガイドラインは、具体的にアカウントとパスワード、財務ステータス、位置情報および行動情報をCSLの定義に追加する。 CSLの定義が記載されている種類の個人情報に限定されていないことを考慮すると、評価ガイドラインの定義はCSLと一貫しているため、規制当局は将来、位置情報および行動情報を「個人情報」として扱う可能性がある。 

ⅱ.クロスボーダーの個人情報および例外の移転に必要な同意

　評価尺度は、ネットワークオペレータが国境を越えた情報の転送に関連する目的、範囲、内容、受信者、および受領者の国について個人情報を所有者に通知することを要求し、ネットワーク事業者は、国境を越えた情報伝達が行う。 

　アセスメント・ガイドラインは、データ主体の同意を得ることの原則に例外を設けている。市民の生活や財産の安全を脅かす緊急事態が発生した場合、同意を得る必要はない。 

　特に、CSLは、特定の人が特定されないように不可逆的に処理された個人情報の例外を提供する。CSLは、そのように処理された情報を、所有者の同意を得ずに他人に開示することができる。 コメント要求は、この例外が中国における大規模データおよびクラウドビジネスの開発の便宜のために設計されたことを示唆している。 

　企業は、国際電話が行われた場所、電子メールやインスタントメッセージが海外の個人や組織に送信され、国境を越えた電子商取引やその他の活動が開始されるなど、評価措置の特定の状況下で推論されたデータ主体の同意が認識されるよう要求している。ただし、そのような例外が評価尺度に含まれるかどうかは不明である。 

ⅲ.「重要なデータ」の定義

　CSLは「重要なデータ」を具体的に定義していない。①国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案）は、「重要なデータ」を国家の安全保障、経済発展、そして公益に密接に関連するデータと定義する。 ②評価ガイドラインは、「重要なデータ」につき次のとおり具体的な定義を提供する。 

　国家の秘密を伴わないが、国家の安全保障、経済発展、または公益に密接に関連している、中国の領土内の中国政府、企業、および個人によって収集された（元データと派生したデータを含む）紛失、濫用、不正使用、破壊、または集計、統合および分析後に開示された場合、国家安全保障、国家経済および財政保障、社会的公共利益、および正当な権利と利益に関連する重大な結果を引き起こす可能性がある。 

　評価ガイドラインは、27業種および部門の重要なデータの包括的な例と、中国の平和、繁栄、または社会的福祉に影響を与える可能性がある他の地域のその他のデータの包括的なカテゴリを提供している。 アセスメントガイドラインは、これらの27業種の業界規制当局を規定し、これらの主要産業における重要なデータの定義、範囲、および識別基準が、業界の規制当局によってさらに規定されることを規定している。

 　たとえば、「人口統計的健康」カテゴリの下では、評価ガイドラインには次の8つの重要なデータが含まれている。 

① 特定の公衆衛生サービスの管理で得られた患者およびその家族の個人情報（薬物および避妊装置の副作用の監視、公衆衛生緊急事態、流行状況など）

② 電子的医学の履歴

③ 医療機関および保健管理サービス機関が保有する健康記録およびその他の診断およびヒースデータ

④ ヒト臓器移植医療サービスを通じて得られたヒト臓器移植者の受診者および応募者の個人情報

⑤ 精子および卵子提供者の個人情報ならびに人間支援繁殖技術サービスの利用者および応募者

⑥ 家族計画サービスを通じて得られた個人情報

⑦ 個人および家族の遺伝情報; 

⑧ 人生の登録情報 

ⅳ.セキュリティ評価

　評価尺度および評価ガイドラインによれば、CACではなく業界の監督当局が国境を越えたデータ転送のセキュリティ評価を担当する。 CACは、セキュリティ評価の努力を導き、調整する。 

　評価尺度および評価ガイドラインに従って、業界監督当局の定期的な試験の対象となるネットワーク事業者がセキュリティ評価を実施することができる。 しかし、以下の移転については、業界監督当局によってセキュリティアセスメントを実施すべきである。 

① 50万人以上の中国人市民の個人情報を含むデータ

② 海外に送信される1,000ギガバイト以上のデータ量

③ 「核施設、化学生物学、国防または軍隊、人口および医療など」に関するデータ

④ 「大規模な工学的活動、海洋環境、および敏感な地理情報」に関するデータは、システムの脆弱性やセキュリティ対策など、中国のCII事業者のサイバーセキュリティに関する情報

⑤ CIIオペレータが個人情報と重要なデータを海外に提供する場合

⑥ 中国の国家安全保障と公共の利益に潜在的に影響を与えるかもしれないその他の移転 

　評価尺度はまた、データを海外に転送することができない以下のような状況を提供する。 

① 国境を越えた移動が、個人情報の所有者によって承認されない場合、またはそのような移転は個人的利益を危険にさらす可能性がある。

② 国境を越えた移転は、国家の安全に影響を及ぼし、社会的および公共的利益を危険にさらす可能性のある場合、国家の政治、経済、技術、および/または防衛に対する安全保障上のリスクを引き起こす場合。

③ 国のサイバースペース管理、公安当局、または他の関係機関は、データが海外に送信されることを禁じている。  

　評価ガイドラインは、評価プロセス、主要な評価要因、評価手法などの自己評価と業界規制当局による評価の両方に使用される手順の詳細を提供する。 ネットワーク事業者が考慮しなければならない要因には、情報の機密性のタイプと程度、 情報の量と範囲であり、 情報が減感されたか否かに関わらず、 その移転の可能な影響; 国家の安全保障と公益への影響があるとき、送付者がとった安全上の予防措置、レシピエントの安全機能; 受取人の現地の法的風土が含まれる。 

　中国国民の個人情報と重要なデータを中国国外に移転しようとする企業は、国境を越えたデータフローを積極的に自己評価し、中国政府のセキュリティ評価に対処すべく準備をすることを検討すべきである。 

***************************************************************************

 Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1)

　2017年7月11日、中国サイバースペース管理局（国家互联网信息办公室：Cyberspace Administration of China (以下「CAC」という） は、 「サイバーセキュリティ法(中华人民共和国网络安全法：以下「CSL」という)」 (筆者注0)第31条にもとづき重要情報インフラストラクチャーの保護に関する規則草案（draft Regulation on the Protection of Critical Information Infrastructure (以下「規則草案：CII Regulation」という）に対するパブリックコメントの公募を行った。このコメント期間は、2017年8月10日に終了する。 

　もともとCACは、2017年6月1日の、サイバーセキュリティ法の施行日に合わせて2017年4月11日に個人情報および重要データの国外移転におけるセキュリティ評価にかかる規則草案(Draft circulated by the Cyberspace Administration of China (CAC) on April 11, 2017.)を、パブリックコメントに付した。この規則草案は、国際社会から激しい批判を受けたが、大きな変更がないまま2017年6月1日に発効する見込みであった。注目すべきは、この規則草案によって、データ・ローカリゼーション要件(筆者注1)が適用される企業の範囲がさらに拡大し、中国においてコンピュータシステムを用いる企業に広く適用される可能性があるという点である。第一次のパブリックコメントの提出期限は2017年5月11日と、新法の施行のわずか3週間前という問題も指摘されていた。

　このような立法手続きの不手際問題はもとより、保護法の立法内容がわが国はじめ海外企業にとっていかなる影響があるかを考えるのが今回のブログの主な目的である。

　なお、サイバーセキュリティ法の内容についての解説は企業実務的にみると、本文で述べるとおり日本語解説としてはデロイト・トーマス事務所のものが参考になるし、またCII Regulationの内容については、Norton Rose Fulbright LLP のCII Regulation解説文「China Seeks Comment on Draft Regulation on Critical Information Infrastructure」、さらに法律および規則・ガイダンスの内容面からの問題指摘はCovington＆Burling LLPの特別弁護士(special counsel)  

罗嫣 Yan Luo 氏 (同弁護士のプロファイルの中国語版 )が2017年7月17日付けInside Privacy「China Seeks Public Comments on Draft Regulation on the Protection of Critical Information Infrastructure」などで多くを述べており、本ブログでも積極的に引用した。 

　一方、中国の個人情報保護法制、個人情報保護評価認証(PIPA)ガイダンス、運用の理解いたが実務的にはもっとも重要な点であり、それには大連ソフトウェア産業協会サイト (筆者注2)の日本語解説がもっとも有用であり、本ブログでも適宜引用した。同時に、中国のサイバーセキュリティ法と緊密な関係にある個人情報保護法体系についても筆者が知りうる範囲で中国内に拠点をもつ海外の主要ローファーム(DWT)の解説をも引用した。 

　さらに重要な点は、中国が取り組んでいる重要視している点が規則案の策定にとどまらず、中国の新しいサイバーセキュリティー法の下で審査された特定のネットワーク製品のリストである「カタログ」の第一次のバッチ・カタログをリリースした点である。CACが中国のサイバーセキュリティ・レビュー・メカニズムの特定の規定に関する最新情報を提供し続けているため、これらの新しい機器の規定内容を理解することが企業実務にとって最も重要であることから、わが国では皆無といって良いこの問題の解説を試みた。 

　最後に多くのレポートを各観点から取り上げ引用、紹介したため、内容に一部重複が生じた。機会を改めて整理したい。 

　今回は、4回に分けて掲載する。 

Ⅰ.中国の「サイバーセキュリティ法(中华人民共和国网络安全法)」の概観

　翻訳した網羅的逐条解説資料としては、2017年4月デロイトトーマツ「中国サイバーセキュリティ法の概要と日本企業に望まれる対応：季刊誌「企業リスク」（第43号2017年4月号）「研究室」のサイトから資料をダウンロードのうえ参照されたい。 

Ⅱ.新サイバーセキュリテイ法成立前の中国の越境データ移転にかかる規制内容

　Covington＆Burling LLPの特別弁護士(special counsel) Yan Luo 氏が、新サイバーセキュリティ法で提案された変更点を説明するとともに、海外の企業が新しい中国のデータ移転要件に準拠するために取るべきデータ移転に関する法令遵守戦略について2017年2月14日 付けEURObizで以下のとおり解説を加えている。

 (1) 中国が2016年11月7日に新しいサイバーセキュリティー法を制定する以前は、国境を越えたデータ移転は政府によってほとんど規制されていなかった。多くの中国の法律や規則がデータの収集、使用、保管（データ・ローカリゼーションを含む）に適用されていたが、拘束力のある法律や規制に適用される法的要件や中国国境を越えたデータ移送の制約はなかった。

 (2)サイバーセキュリティー法の立法の前後に見る中国の施策の大きな変化

　2017年6月1日にサイバーセキュリティ法が施行されれば、国境を越えたデータ移転の規制状況は完全に変わるであろう。中国は国際的なデータ移転空間でとるべき別の重要な法的管轄概念を取り込んだ。

 　法律が公布される前にも、中国はすでに業界固有の多くの規制においてデータのローカリゼーション要件を課すことにより、データに対する管轄権の統合を開始した。しかし、国境を越えたデータフローを規制する包括的な枠組みは存在しなかった。

 　2012年に「公共および商業サービス情報システム （GB / Z 28828-2012）（ 以下「ガイドライン 」という）(筆者注2)における個人情報保護のためのガイドラインが自主的で拘束力のない国家規格として発布された。  

　このガイドラインは、「個人情報主体の明白な同意、明示的な法的または規制上の許可がない場合、または権限のある政府機関の承認がない場合、個人情報の管理者(administrator of personal information)は、個人情報を海外に所在する個人または海外に登録された組織または機関への個人情報の移送を禁止する」と規定していた。しかし、このガイドラインは法的強制力がなく、実際には解釈上の牽引力をもっていなかった。 

************************************************************

(筆者注0) 中国日本商会(The Japanese Chamber of Commerce and Industry in China)のサイトが「中国サイバー セキュリティ法」仮訳(仮訳作成：JEITA/JLMC(電子情報技術産業協会 北京事務所 )でCLの全条文を仮訳している。 

(筆者注1) 2017年5月11日、 ジョンズ・デイ法律事務所の東京事務所の解説文から「データローカリゼーション」に関する解説を以下、抜粋する。

「データローカリゼーション：新法でおそらく最も議論を呼んでいる規定は、中国で収集または生成された「国民の個人情報および重要データ」を中国国内で保管することをCII事業者に要求している第37条(筆者注2-2）である。「重要データ」という用語は、新法において定義されていないが、第76条では、「個人情報」を、電子的にまたはその他の手段で記録された、単独でまたはその他の情報とともに、自然人の身元を特定するのに十分なあらゆる種類の情報と広範に定義しており、個人名、生年月日、身分証明書番号、個人生体認証情報、住所、電話番号等を含むが、これらに限定されない。

　新法ではさらに、「正当な業務上の理由」により、かかる情報を中国国外に移転する必要がある場合には、CII事業者は、国務院および国のサイバースペース部門が共同で制定した「セキュリティレビュー」（定義されていない用語）を行わなければならないと規定している。規定に従わなかった場合の罰則としては、所得の没収、罰金（違反した組織および担当者個人の両方）ならびに業務の停止が挙げられる。

　これらのデータローカリゼーションの新たな要件は、世界でも最も厳しいデータローカリゼーション要件に属する。後で「規則案によりデータローカリゼーションおよび国外移転の要件を拡大」で説明するように、中国のサイバースペース部門による2017年4月11日の規則案では、データローカリゼーションの要件がさらに拡大され、この義務が他のネットワーク事業者にも適用されている。・・・・・」

 (筆者注2) 2012年11月5日、中国の品質監督検疫総局と中国の標準化管理総局が共同で公的商業サービス情報システム（GB / Z 28828-2012）で公表した「2013年個人情報保護ガイドライン」をさす)。大連ソフトウェア産業協会の「中華人民共和国国家標準化指導性技術書GB/Z 28828—2012　发布时间：2015-8-7　作者：PIPA管理事務室　点击次数：876

情報セキュリティー技術の公共・商用サービス情報システムにおける個人情報保護ガイドライン」の日本語解説参照。 

(筆者注2-2） 第37条の英訳・原文・和訳(和訳は筆者が仮訳した)をchina law translate .comサイトから引用する。

＊Article 37: Personal information and other important data gathered or produced by critical information infrastructure operators during operations within the mainland territory of the People's Republic of China, shall store it within mainland China. Where due to business requirements it is truly necessary to provide it outside the mainland, they shall follow the measures jointly formulated by the State network information departments and the relevant departments of the State Council to conduct a security assessment; but where laws and administrative regulations provide otherwise, follow those provisions.

＊第三十七条  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

＊第37条 中華人民共和国の本土内での業務中に重要な情報インフラストラクチャ事業者によって収集または作成された個人情報およびその他の重要なデータは、中国本土内に保管しなければならない。ビジネス要件のために本土外に提供することが本当に必要な場合は、国家ネットワーク情報部門と国務院の関係部門が共同で策定した施策に従って、セキュリティ評価を実施しなければならない。法律および行政上の規定に別段の定めがある場合は、それらの条項に従う。

*********************************************************************************************

 Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.