KPMGコンサルティングは3月28日、中国に拠点を持つ日本企業に向けて「中国サイバーセキュリティ法」への対応支援サービスの提供を開始すると発表した。
中国サイバーセキュリティ法(2017年6月施行)は、中国本土に所在する企業に対し、個人データや重要インフラおよびデータの保護など、サイバーセキュリティへの対応を求める法律。同法令により企業は、自社が保有するコンピュータネットワークの等級保護評価や、データを中国国外に移す際の事前安全評価が求められる。罰則適用事例は施行時から増加しており、法令違反時には組織だけでなく個人にも責任が問われるなど、規制の内容も厳格になっているという。
同法令は、中国企業だけでなく中国に子会社、関連会社を有する日本企業にも、現地会社への適切な対応の指導を要求している。また、中国からデータを受け取る際は、データの受信者として受信側のシステムにおける安全評価に協力することなども必要としており、グループ全体で取り組むことを求めている。

中国サイバーセキュリティ法における要求事項の主なポイント(出典:KPMGコンサルティング)
KPMGコンサルティングによると、該当する企業は、法令要件を社内規程に取り込むことに加え、法令要件を満たすための効果的なセキュリティ対策や、プライバシーデータ保護対策の検討と導入が必要であるという。さらに同社は、中国に限らず世界各国でデータ保護に関する規制が複雑化しているとし、グループ全体でデータ管理の在り方を見直すことや、各国の新規制に柔軟に対応できるような仕組みを整えておくことが重要であると述べる。
KPMGコンサルティングは、自社の情報網を活用して日本で入手しにくい同法令の関連情報を提供するとともに、現地会社への対応を指示する日本側の担当者に向けた教育、対応プロジェクトの策定および運営、対応ガイド文書の作成、対象となるネットワークシステムの評価、評価結果に基づくセキュリティ対策、データ保護の計画などを支援するという。
加えて、欧州連合(EU)の一般データ保護規則(GDPR)や米国カリフォルニア州の消費者プライバシー法など、世界各国のデータ保護に関する規制への対応においても、リスクの特定、現地拠点の現状評価、対策の構想・導入・監視といった全ての段階を支援するとしている。