GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か

　欧州で2018年5月に「一般データ保護規則（GDPR）」が施行され、日本企業の対応が徐々に進み始めているが、中国で2017年6月に施行されたサイバーセキュリティ法「網絡安全法」も同様に日本企業の対応が求められる規制になるという。インターネットイニシアティブ（IIJ）が8月22日、都内でメディア向け説明会を開き、中国のサイバーセキュリティ法規制の概況を解説した。

　網絡安全法は、中国の「国家安全法」の第25条で規定されたサイバー空間における安全性の確保を具体的に推進するための法律と位置付けられている。IIJの中国法人・IIJ Global Solutions Chinaで副総経理 技術統括部長を務める李天一氏は、「端的に言えば、データのセキュリティと中国国外への越境移転における取り扱いを定めた規制であり、現実世界では国境を跨ぐ人・物・金の移動を適切に行うためのルールが存在するように、サイバー空間におけるデータについても同じ論理で行うべきであるというのが網絡安全法の根底にある」と話す。

「網絡安全法」の全体像

　GDPRや日本の個人情報保護法など多くのこうした規制では、個人に関するデータのセキュリティやプライバシーの保護とデータの越境移転に関するルールに重点が置かれているが、網絡安全法では個人データを含む情報（データ）そのものに着目しているという。李氏は、法体系としては網絡安全法も諸外国の規制と同様にグローバル的ではあるが、諸外国の規制ではコンプライスに比重が置かれているのに対し、網絡安全法ではコンプライスだけでなく、法の有効性を技術的な手段でも担保していく試みが特徴だと解説する。

「網絡安全法」の特色

　企業には、網絡安全法に基づいたサイバー空間における適切なデータの取り扱いを実現するために、データの現状やセキュリティ対策状況の把握、安全性の評価、ルールやマネジメント体制、IT環境などの整備と運用による順守が求められる。セキュリティ対策の不備や情報漏えいといった違反には、企業とIT責任者に罰金や事業ライセンスの取り消し、インシデントの公開といった厳しい罰則が科せられる可能性がある。諸外国との細かい違いはあるものの、現在見られるサイバーセキュリティ規制としては、極めて特殊性が強いわけではないようだ。

　李氏によれば、網絡安全法は施行から1年が経過して運用面での整備や当局による対応が本格化し始めているという。5月に警察当局が主体となって対応するための規定が追加されたことで、6月から不適切なセキュリティ状況を放置したままであったり、個人情報などルールを順守していなかったりする組織への取り締まりが大幅に強化されたという。

施行1年で、セキュリティ不備などの摘発は既に数多く行われているという

　同社の調べでは、現状でこうした摘発は中国国内の企業に限られ、海外資本などとの合弁の組織やデータの越境移転ルール違反を理由にした摘発は確認されていない。ただ、摘発が目立つのは江蘇省や浙江省、重慶市といった日本企業も数多く進出している地域だといい、コンプライアンスリスクの顕在化が懸念されるとしている。

　網絡安全法に対応済みもしくは検討中という日本企業は、同社が実施したアンケートやヒアリングの結果によれば20％にとどまる。残る80％の多くは様子見ムードだが、李氏は「GDPRでも同じだが、一部の企業は規制に対応したくないと考え、そのアリバイを得るために当社に相談されるケースが実際にある」と話す。当局の摘発や指導を受けた企業には、世界的にも著名なIT大手が含まれているといい、李氏の実感では日本企業側も大手は「やむなし」というマインドのところが多いものの、中堅・中小には不安を覚えるという。

セミナー参加企業やIIJのヒアリングに応じた約200社の対応状況。ほとんどは様子見ムードだという

　個人情報関連を含むビッグデータ活用ビジネスへの期待が世界的に高まる一方、データやプライバシーに関する規制も世界的な潮流となっている。GDPRへの対応に限らず、中国も含めた世界的な規制強化の動きに企業がどう対応していくかが重要なテーマになると、同社は指摘している。

「網絡安全法」に対する国内企業からの相談事項は個別的なものが多いという