法令違反で10億円か売上高の5%--注意を払うべき中国「データ3法」の対応策

阿久津良和

2022-10-18 08:00

 インターネットイニシアティブ(IIJ)は10月17日、「中国データ保護規制と企業の対応状況の最新動向」と題したメディア向けオンライン勉強会を開催した。同社グループの中国法人であるIIJ Global Solutions China 董事・副総経理 技術統括部長 李天一氏は「法改定に伴い、罰則強化やデータセキュリティと個人情報保護が一体化する。最終的にはデータ越境にまつわる認定・判定プロセスのコマーシャライゼーション対応まで(進む)」と警鐘を鳴らした。

枠組みが固まり、法執行は本格的に

 中国は「個人情報保護法」「サイバーセキュリティ法」「データセキュリティ法」の“データ3法”を制定している。個人情報や重要データを保護するための法律だが、IIJ ビジネスリスクコンサルティング本部 シニアコンサルタント 加藤博一氏は「データセキュリティ法は昨年(2021年)9月、11月に個人情報保護法を施行。2017年に施行したサイバーセキュリティ法と合わせて『中国データ3法』」と呼んでいる。

 中国の動きは活発で「アップデートサイクルのスピード感も非常に早まっている。データセキュリティ法と個人情報保護法は2021年4月ごろに2次草案が出されたものの、約半年で施行に至った」(加藤氏)

中国データ保護関連法制の動向 中国データ保護関連法制の動向
※クリックすると拡大画像が見られます

 名称からも分かるように各法の役割は異なり、個人情報のみを対象とするのが個人情報保護法、ネットやデータ全般を規制対象とするのがサイバーセキュリティ法とデータセキュリティ法だ。

 データ3法がそろったことで「枠組みが固まった。今後は法執行が本格化してくる。また、個人情報保護の範囲が中国境内(香港、マカオ、台湾をのぞいた中国本土)や域外適用もある。個人情報保護法は深刻な違反が生じた場合と条件付きではあるものの、最高で5000元(約10億円)、もしくは前年度売り上げ5%以下の過料が科される」(加藤氏)ため、中国に進出中の企業は現地のガバナンス強化が欠かせない。

 ただし、各法は非民主的な立て付けではなく、個人情報保護法は欧州連合(EU)の一般データ保護規則(GDPR)や米カリフォルニア州消費者プライバシー法(CCPA)、サイバーセキュリティ法は情報セキュリティの国際規格である「ISO27000」や米国の連邦政府でのセキュリティ管理とプライバシー管理のガイドラインである「NIST SP800-53 」、データセキュリティ法はITガバナンスでのデータガバナンスの国際規格である「ISO 38505」、データ管理の国際的な非営利団体であるData Management Association International(DAMA)といったセキュリティフレームワークをもとにしている。

中国データ3法の位置付け 中国データ3法の位置付け
※クリックすると拡大画像が見られます

 データ3法に対して、李氏は「(経営層視点では)法整備がほぼ完了したので中国国内でも一般大衆向けの宣伝がなされ、一般市民の関心度も高まりつつある」と現地の状況をつまびらかにしながら、コンプライアンス順守やガバナンス強化、データ資産、情報インフラセキュリティの再確認をうながした。

 こうした状況に関心を寄せざるを得ないのが、中国に進出した日系企業の存在である。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]