中国におけるサイバーセキュリティ・データプライバシーの新しい規制要件
中国では、2017年6月1日のサイバーセキュリティ法の施行以降、中国においてサーバー、ヴァーチャル・ネットワーク、ソフトウェア、情報システムなどのクラウド・インフラを設置する企業(外国企業の中国関連会社を含みます)を規制する国内規格を含め、厳格な要件を求める新しい法律や規制が相次いで制定されています。
その一つとして、2019年12月1日に導入された、3つの国内規格を含む「サイバーセキュリティ多層保護システム2.0」(MLPS2.0)があります。その国内規格で、各企業は、その企業のネットワークが、妨害、損害、無権限アクセスにさらされることを防ぎ、ネットワークデータの漏洩、盗用、改ざんを防ぐための、サイバーセキュリティ保護義務を負います。これらの国内規格では、ネットワークはセキュリティ違反時のリスクの可能性に応じて5段階に等級分けされています(レベル1が危険が一番少なく、レベル5が最も危険)。この国内規格においては、さらに、企業(外国企業の中国関連会社を含みます)が、サーバー、ヴァーチャル・ネットワーク、ソフトウェア、情報システムなどのクラウド・インフラを中国国内に設置することを求めています。
また、個人情報保護法草案が本年公布される予定です。本草案では、より厳格なデータローカリゼーション要件を定めており、重要情報インフラ事業者(いまだ定義されていない用語です)及び取扱う個人情報が国家インターネット情報部門の規定する数量に達した個人情報取扱者は、中華人民共和国域内で処理する個人情報を域内で保存しなければなりません。または、域外移転が必要な場合には、国家インターネット情報部門の安全評価が必要になります。上記の何れにも該当しない企業に対しても、域外移転について厳格な要件が課されています。この新法に対応するため、多くの米国・欧州企業においては、中国の国内データを他のデータから分離するなどの措置をとっています。
サイバーセキュリティ及び個人情報保護は、中国政府にとって拡大するアクションプランとなっています。今後半年ないし1年以内にさらに法令・規則が制定されることが予想されます。中国において事業展開する事業者は、中国におけるサイバーセキュリティ分野での法令の展開に継続して注意を払い、定められたセキュリティとプライバシー保護要件を実施する必要があります。
本アラートは、中国で活動する日本企業に関心のあるトピックと考えられることから紹介する次第です。詳細は、Jones Day Commentary “New Chinese Cybersecurity and data Privacy Requirements”(オリジナル英語版)をご参照下さい。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。
