中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その2)

Ⅲ．中国の国境を越えたデータ移転にかかる新しいサイバーセキュリティ―立法等による法規制のあり方の大きな変化を概観

　１．Morgan、Lewis＆Bockius LLPのReport

　2017年7月17日Morgan、Lewis＆Bockius LLPは「中国、国境を越えた個人情報の移送に関する立法諸ルールを制定(China Drafts Legislative Rules Regarding Cross-border Data Transfers)」と題するレポートを公表している。

　このレポートは、CSLと(1)国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案） （具体的評価の尺度）、(2)国境を越えたデータ移転のセキュリティ評価のためのガイドライン（協議草案） （評価ガイドライン）、(3) 重要情報インフラの安全保障のための規則（協議規則案）（CII Regulation)を比較しながら実務面からみた検討課題を整理している。 

　同レポートを以下、仮訳する。 

　2017年6月1日施行の中国が最近制定した「サイバーセキュリティー法（中华人民共和国网络安全法：CSL」は、中国の重要情報インフラストラクチャー（CII）事業者が収集、生産する重要な個人情報とデータを中国内に保管することいわゆる「ローカル・ストレージ(データ・ローカリゼーション)」を要求し、また CSLは個人情報および重要なデータが中国国外の企業または個人（国境を越えたデータ移転）に提供される前に、セキュリティ・アセスメントが実施することを要求している(CSL：37条)(筆者注2-2)。中国は、CSLとともに、個人情報の国内保持(local storage)および国境を越えた個人データ移送の要件とパブリックコメントに対応するその他の法案を公表している。 CSLを受けた新しい3つの実施規則・ガイダンスとしては、以下が挙げられる。

 ① 国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案） （具体的評価の尺度）。

② 国境を越えたデータ移転のセキュリティ評価のためのガイドライン（協議草案） （評価ガイドライン）。 

③ 重要情報インフラの安全保障のための規則（協議規則案） （CII Regulation)。 

 　これらの草案は、国境を越えたデータ移送に必要なセキュリティ評価に関する詳細と同様に、CSLの下での主要概念の定義と範囲を提供する。 中国からデータを収集、移転する多国籍企業は、法案が発効した時点でデータの保管と移送に関して実施しなければならない具体的な措置を準備するために、この法律等の草案を検討し、立法動向を理解する必要がある。このレポート(LawFlash)では、以下のとおり、この規則案やガイドラインのハイライトを述べ、CL法と比較する。 

(1) ローカル・ストレージおよびセキュリティ評価要件の対象者とは？ 

　CSLはCII事業者に「個人情報」と「重要データ」の国境を越えたデータ移送に必要なローカル・ストレージとセキュリティ評価の要件のみを適用するが、評価尺度の現在の草案ではすべての「ネットワーク事業者」は一般的に義務付けられている。データに「個人情報」または「重要なデータ」が含まれている場合は、国境を越えたデータ転送のセキュリティ検証を実施する。 そのようなデータは中国国内に保存されなければならないとされる。アセスメント・ガイドライン草案は、アセスメント手続きに続き、すべての「ネットワーク事業者」に適用されるセキュリティ評価プロセスを提供する。 

　しかし、2017年5月に、CSLの実施に関する公式報道ブリーフィング中、CACのネットワークセキュリティ調整室長によると、国境を越えたデータ移転のためのローカル・ストレージとセキュリティ評価の要件は、CII事業者評価尺度が確定して公表されるまで、これは不確実なままであると述べた。 

(2) CIIの定義

　CSL第31条は、CIIを「損害、機能の喪失またはデータ漏洩の場合に、国家の安全保障、国家の福祉または国民の生計または公益を重大に危険にさらす可能性のあるインフラ」と定義している。またCSLは、CIIの例として公共サービス、情報サービス、エネルギー、交通、水道、金融、公共サービス、電子政府の分野のネットワーク事業者を含むとしているが、CIIの特別な定義は国務院による規則に委ねている。 

　CII規則(CII Regulation)は、CIIの範囲を次の特定の産業と明記している。

① エネルギー、金融、運輸、水質保全、医療、教育、社会保障、環境保護、公共事業部門の政府機関および団体 

② 通信ネットワーク、放送テレビネットワーク、インターネットなどの情報ネットワーク、クラウドコンピューティング、大規模データなどの大規模な公共情報ネットワークサービスを提供する事業体(entities)

③  国防、大型機器製造、化学工業、食品医薬品分野の科学技術などの分野の研究および製造事業体 

④ 放送局、テレビ局、報道機関などのプレス・ユニット 

　規制当局が、情報システムのデータ漏えいや機能不全が国家の安全保障、国家の福祉、国民生活および公益に影響を及ぼす可能性があると判断した場合、製造業、IT、食品、医療、医療分野の多国籍企業はそのような広い定義に含めることができる。(CII Regulation 第18条)  

(3) 「ネットワーク事業者」の定義 

　CSLにいう「ネットワーク事業者(CII Operator)」の定義は、CII事業者の定義に比べてはるかに広い。 ネットワークオペレータには、「ネットワークの所有者と管理者、ネットワークサービスプロバイダ」が含まれる。(CSL第76条) インターネットや電子メールなど、オフショアでデータを送信する中国の特定のネットワークを使用する多国籍企業は、潜在的に「ネットワーク事業者」とみなすことができる。 

(4) 個人情報と重要なデータ

　CSLの下での国境を越えたデータ転送のためのローカル・ストレージおよびセキュリティ評価要件は、「個人情報」および「重要なデータ」を保護します。継続的な法的努力は、次のとおりさらに「個人情報」および「重要なデータ」を定義する。 

i.「個人情報」の定義

　CSLの「個人情報」の定義には、名前、生年月日、ID番号、個人の生体識別情報、住所、および自然人の電話番号が含まれるが、これらに限定されない。アセスメントガイドラインは、具体的にアカウントとパスワード、財務ステータス、位置情報および行動情報をCSLの定義に追加する。 CSLの定義が記載されている種類の個人情報に限定されていないことを考慮すると、評価ガイドラインの定義はCSLと一貫しているため、規制当局は将来、位置情報および行動情報を「個人情報」として扱う可能性がある。 

ⅱ.クロスボーダーの個人情報および例外の移転に必要な同意

　評価尺度は、ネットワークオペレータが国境を越えた情報の転送に関連する目的、範囲、内容、受信者、および受領者の国について個人情報を所有者に通知することを要求し、ネットワーク事業者は、国境を越えた情報伝達が行う。 

　アセスメント・ガイドラインは、データ主体の同意を得ることの原則に例外を設けている。市民の生活や財産の安全を脅かす緊急事態が発生した場合、同意を得る必要はない。 

　特に、CSLは、特定の人が特定されないように不可逆的に処理された個人情報の例外を提供する。CSLは、そのように処理された情報を、所有者の同意を得ずに他人に開示することができる。 コメント要求は、この例外が中国における大規模データおよびクラウドビジネスの開発の便宜のために設計されたことを示唆している。 

　企業は、国際電話が行われた場所、電子メールやインスタントメッセージが海外の個人や組織に送信され、国境を越えた電子商取引やその他の活動が開始されるなど、評価措置の特定の状況下で推論されたデータ主体の同意が認識されるよう要求している。ただし、そのような例外が評価尺度に含まれるかどうかは不明である。 

ⅲ.「重要なデータ」の定義

　CSLは「重要なデータ」を具体的に定義していない。①国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案）は、「重要なデータ」を国家の安全保障、経済発展、そして公益に密接に関連するデータと定義する。 ②評価ガイドラインは、「重要なデータ」につき次のとおり具体的な定義を提供する。 

　国家の秘密を伴わないが、国家の安全保障、経済発展、または公益に密接に関連している、中国の領土内の中国政府、企業、および個人によって収集された（元データと派生したデータを含む）紛失、濫用、不正使用、破壊、または集計、統合および分析後に開示された場合、国家安全保障、国家経済および財政保障、社会的公共利益、および正当な権利と利益に関連する重大な結果を引き起こす可能性がある。 

　評価ガイドラインは、27業種および部門の重要なデータの包括的な例と、中国の平和、繁栄、または社会的福祉に影響を与える可能性がある他の地域のその他のデータの包括的なカテゴリを提供している。 アセスメントガイドラインは、これらの27業種の業界規制当局を規定し、これらの主要産業における重要なデータの定義、範囲、および識別基準が、業界の規制当局によってさらに規定されることを規定している。

 　たとえば、「人口統計的健康」カテゴリの下では、評価ガイドラインには次の8つの重要なデータが含まれている。 

① 特定の公衆衛生サービスの管理で得られた患者およびその家族の個人情報（薬物および避妊装置の副作用の監視、公衆衛生緊急事態、流行状況など）

② 電子的医学の履歴

③ 医療機関および保健管理サービス機関が保有する健康記録およびその他の診断およびヒースデータ

④ ヒト臓器移植医療サービスを通じて得られたヒト臓器移植者の受診者および応募者の個人情報

⑤ 精子および卵子提供者の個人情報ならびに人間支援繁殖技術サービスの利用者および応募者

⑥ 家族計画サービスを通じて得られた個人情報

⑦ 個人および家族の遺伝情報; 

⑧ 人生の登録情報 

ⅳ.セキュリティ評価

　評価尺度および評価ガイドラインによれば、CACではなく業界の監督当局が国境を越えたデータ転送のセキュリティ評価を担当する。 CACは、セキュリティ評価の努力を導き、調整する。 

　評価尺度および評価ガイドラインに従って、業界監督当局の定期的な試験の対象となるネットワーク事業者がセキュリティ評価を実施することができる。 しかし、以下の移転については、業界監督当局によってセキュリティアセスメントを実施すべきである。 

① 50万人以上の中国人市民の個人情報を含むデータ

② 海外に送信される1,000ギガバイト以上のデータ量

③ 「核施設、化学生物学、国防または軍隊、人口および医療など」に関するデータ

④ 「大規模な工学的活動、海洋環境、および敏感な地理情報」に関するデータは、システムの脆弱性やセキュリティ対策など、中国のCII事業者のサイバーセキュリティに関する情報

⑤ CIIオペレータが個人情報と重要なデータを海外に提供する場合

⑥ 中国の国家安全保障と公共の利益に潜在的に影響を与えるかもしれないその他の移転 

　評価尺度はまた、データを海外に転送することができない以下のような状況を提供する。 

① 国境を越えた移動が、個人情報の所有者によって承認されない場合、またはそのような移転は個人的利益を危険にさらす可能性がある。

② 国境を越えた移転は、国家の安全に影響を及ぼし、社会的および公共的利益を危険にさらす可能性のある場合、国家の政治、経済、技術、および/または防衛に対する安全保障上のリスクを引き起こす場合。

③ 国のサイバースペース管理、公安当局、または他の関係機関は、データが海外に送信されることを禁じている。  

　評価ガイドラインは、評価プロセス、主要な評価要因、評価手法などの自己評価と業界規制当局による評価の両方に使用される手順の詳細を提供する。 ネットワーク事業者が考慮しなければならない要因には、情報の機密性のタイプと程度、 情報の量と範囲であり、 情報が減感されたか否かに関わらず、 その移転の可能な影響; 国家の安全保障と公益への影響があるとき、送付者がとった安全上の予防措置、レシピエントの安全機能; 受取人の現地の法的風土が含まれる。 

　中国国民の個人情報と重要なデータを中国国外に移転しようとする企業は、国境を越えたデータフローを積極的に自己評価し、中国政府のセキュリティ評価に対処すべく準備をすることを検討すべきである。 

***************************************************************************

 Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.