これまで、GDPRに関するさまざまな要件とその対応を述べてきました。第4回となる今回は、GDPR以外の規制で、中国のサイバーセキュリティ法(インターネット安全法)など、データの越境移転に関する制約について概説します。(第1回、第2回、第3回)
1.中国
2017年6月より、「中华人民共和国网络安全法」、いわゆる中国サイバーセキュリティ法(インターネット安全法)が施行されています。この法律は、図表1で示す構成で書かれており、主に「サイバーセキュリティの確保」「中国のサイバー空間における主権の保全」、「中国の国家安全保障と公益の改善」が目的であるとされてます。多くの部分がサイバーセキュリティに関する要件である一方で、一部に個人情報保護や情報管理の越境移転にかかわる制約が見られます。
中国サイバーセキュリティ法(インターネット安全法)の構成
この法律の影響を受ける主な企業は、次の3つとされており、これらのうち、主な対象は「情報ネットワーク運営者」であると言われています。
・「情報ネットワーク運営者」
・情報ネットワーク製品およびサービスの提供者
・セキュリティサービスの提供者
ここで、「情報ネットワーク」とは「コンピュータあるいはその他の情報端末および関連機器により構成され、一定のルールに従って情報の収集・保管・転送・交換および処理を実行するシステム」と定義されていて、通信回線だけでなく、広く情報システムといった意味合いを持っていることがうかがえます。
また「情報ネットワーク運営者」は、この法律では、「情報ネットワークの所有者・管理者および情報ネットワークサービス提供者」とされており、いわゆる「通信事業者」や「サービスプロバイダ」に限らず、多くの企業が「情報ネットワーク運営者」に該当するものと考えられています。(このような事情から、中国語を直訳すると「インターネット安全法」なのですが、対象は必ずしもインターネットだけでなく企業内部の業務システムや社内ネットワークも含まれているという意味で、本稿では「サイバーセキュリティ法」と表記しています。)
さらに、「情報ネットワーク運営者」のうち、次のいずれかの条件に該当する者は、「重要情報インフラ運営者」に当たるとされ、追加的な要件が求められています。
・公共通信、情報サービス、エネルギー、運輸、水利、金融、公共サービス、電子公務等の業界の関連情報ネットワーク運営者
・情報インフラ侵害が発生した場合に、国家の安全、経済、国民生活及び公益に重大な影響を与える情報ネットワーク運営者
これらの定義については、、中国の最高行政機関である国務院により別途詳細な規定が行われるとされています。
「情報ネットワーク運営者」と「重要情報インフラ運営者」
中国インターネット安全法では、さまざまな情報セキュリティ上の要件に加え、個人情報保護・情報管理の観点で、情報ネットワーク運営者に対して、次の点が求められています。
・個人情報収集時の収集・使用の目的・方式・範囲の明示および同意の取得
・個人情報の漏洩等に対するセキュリティ対策の実施
・本人の同意を得ない第三者提供の禁止