編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

中国当局、オンラインデータ保護で規制案--3カテゴリーに分類

Eileen Yu (Special to ZDNet.com) 翻訳校正: 編集部

2021-11-17 11:09

 中国は、特に国家安全保障と公共の利益に対する重要性に基づいてオンラインデータを分類することを目的とする規制案を発表した。データ保護要件は、この分類に基づいて定められる。

 中国サイバースペース管理局(CAC)は現地時間11月14日、提案されたデータ分類とセキュリティの枠組みを含む一連の法律を発表した。CACは、この法案について、一般からのフィードバックを12月13日まで求めている。

 中国国営メディアの環球時報によると、これらの規制案は、個人と機関の法的権利、国家安全保障、および公共の利益をより効果的に保護することができる、とCACは述べたという。

 規制案の下では、国家安全保障、公共の利益、個人および組織の法的権利と利益に対する影響と重要性に応じて、データが中核、重要、一般の3つの主要なカテゴリーに分類される。

 報告書が業界オブザーバーの意見として述べたところによると、軍用機や空港からのデータは中核データに分類されるのに対し、民間空港の貨物輸送情報は重要データ、一般のフライトのデータは一般データとみなされるという。

 9つの章で構成されるこの法案では、分類に従ってデータを保護する方法についての要件がさらに詳しく説明されている。

 さらに、中国国内で収集されたデータの海外への転送に関する説明も記載されている。一例を挙げると、そのようなデータの所有者に対して、受信者の名前や連絡先情報、データ転送の目的などの詳細を通知することが必要になる。

 法案には、中国国外の市場へのデータ転送を管理する規則に違反した場合、最高1000万元(156万ドル)の罰金が科せられる可能性があることも規定されている。

 法案によれば、顔や指紋、歩き方、音声などの生体認証データも、個人識別の唯一の手段として使用すべきではないという。個人的な生体認証データの提供を個人に強制しようとする動きを制限することが狙いだ。

 また、法案には、データセキュリティインシデントを国家のサイバーセキュリティインシデント緊急メカニズムの一部に含めることも明記されている。これは、潜在的な損害とセキュリティリスクを軽減するために、そのような対策が適時に発動され、展開されることを意味する。

 さらに、データ所有者がサービスの提供に必要でないと考えられる個人情報の収集に同意しないことを選択した場合、組織はサービスの提供を拒否したり、通常のサービスを「妨害」したりしてはならない。

香港でのIPOにサイバーセキュリティレビューが義務づけられる可能性も

 南華早報(SCMP)によると、データ処理活動が国家安全保障に影響を与える、または影響を与える可能性のある組織が香港での上場を目指す場合、規制案はその組織に対して、サイバーセキュリティの評価を受けることも義務づけるという。この法案が可決された場合、香港でのIPOを検討している可能性のあるBytedanceやDidi Chuxingといった中国のテクノロジー企業は、新たな規制監督の対象になるかもしれない。

 この法案では、国家安全保障上の懸念とみなされる基準は詳しく説明されておらず、未発表の政府データ、科学研究、遺伝学に関するデータ、電気通信やエネルギーといった重要なセクターに関するデータなど、「重要データ」とみなされる可能性のあるさまざまなデータが記載されているだけだ、とSCMPは指摘した。

 この法案は、データの使用と収集を管理する中国のほかの規制、つまり、2017年に施行されたサイバーセキュリティ法、2021年に可決されたデータセキュリティ法および個人情報保護法(PIPL)と並行して実施されるように設計された。

 8月に可決され、11月1日に発効したPIPLでは、データの収集、使用、および保存方法に関する基本ルールが定められている。PIPLは、特に中国の消費者への製品やサービスの提供、中国の消費者の行動分析などの目的で個人データを海外で処理する外国の組織に適用される。それらの組織は、個人データの保護に関連する事項について責任を負うために、中国に拠点を置く指定機関を設立するか、あるいは、代表者を任命することも義務づけられる。

 PIPLには、特に国境を越えたデータ転送に適用される章が含まれている。そこには、個人情報を中国から移動する必要がある企業は、最初に「個人情報保護の影響評価」を実施する必要がある、と明記されている。

 違反の是正命令に従わない違反者は最高100万元(15万ドル)の罰金を科せられ、コンプライアンス責任者は1万元(1500ドル)~10万元(1万5000ドル)の罰金を科せられる。「重大な」違反の場合、中国政府当局は最大5000万元(750万ドル)の罰金を科すか、あるいは、当該企業の前会計年度の年間売上高の5%を罰金として徴収することができる。さらに、業務を停止させたり、事業許可や免許を取り消したりすることも可能だ。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]