Global Reachグローバル展開する企業を支援

MENU

コラム|Column

中国サイバーセキュリティ法の最新実務対策セミナーレポート

前編:法的論点の整理と、日系進出企業の課題解決を中心に (2019年1月31日 大阪)

バックナンバー

2019/04/08

欧州のGDPRに続き、日系企業にも関心が高まっている中国サイバーセキュリティ法対応について弁護士法人大江橋法律事務所とIIJが共催で1月31日、大阪にてセミナーを開催しました。セミナーでは、大江橋法律事務所の弁護士陣が法的論点の整理を行い、IIJから中国拠点と日本本社間の問題意識の温度差や中国当局の取締り動向などについて事例を交えて紹介しました。本レポートではセミナー後半部のパネルディスカッションを2回に分けてレポートします。前編では中国サイバーセキュリティ法の今後の行方と現地日系企業の対応状況についてお伝えします。

パネルディスカッション 中国サイバーセキュリティ法の最新動向と今後の行方

登壇者

  • モデレータ
    IIJビジネスリスクコンサルティング本部
    プリンシパルコンサルタント 宮岡 泰治
  • パネリスト
    弁護士法人大江橋法律事務所
    パートナー弁護士・上海事務所首席代表 松本 亮
  • パネリスト
    弁護士法人大江橋法律事務所
    パートナー弁護士・ニューヨーク州弁護士 黒田 佑輝
  • パネリスト
    Global Solutions China Inc.
    副総経理・技術統括部長 李 天一
  • パネリスト
    IIJビジネスリスクコンサルティング本部
    本部長・プリンシパルコンサルタント 小川 晋平

1.中国サイバーセキュリティ法の今後の行方

宮岡 はじめにグレーな部分が多い関連法規、ガイドライン、意見募集稿などについて、今後の見通しについてまず松本先生にお伺いしたいと思います。

松本弁護士 多くの規定が意見募集稿になっているのは確かですが、意見募集期間は終了しています。実務上、施行されていない意見募集稿を参考に判断されるケースもありますので、意見募集稿の十分な研究と把握が必要になると思います。また、今後施行される際には、意見募集稿の内容と変わってくるところもあるかと思います。そういう意味では今後の動向に注意する必要があると思います。

小川 私はGDPR、アジア系のサイバーセキュリティ、プライバシー保護分野を中心にコンサルティングを行っていますが、日本の弁護士、法務部の感覚からすれば、意見募集稿はパブリックコメントにかけられている状態なので、どこかのタイミングで正式なものが出るというのが常識的な感覚だと思います。パブリックコメントに出したものが2年3年経っても出てこないことは日本の感覚からすればあり得ないことですが、中国の実務として、意見募集稿が出たままで、実務がなんとなく動いてしまうことは実際あるのでしょうか。

松本弁護士 結論としてはあります。意見募集稿は出されたけれども実務はそのまま走っていて、正式な意見募集稿が出ていないということもあり得ます。例えば過去の法律では、試行規定が出されてその後正式なものは出ていませんが、それに従って判断されたケースもあります。中国においては、意見募集稿だけ出されて、最終版が出ないというケースも十分あり得るかなと思います。

現地の最新情報について、1月22日に国家ネットワーク情報弁公室(Cyberspace Administration of China: CAC)から新しいもので2、3年間前、1番古いもので5、6年前に意見募集し始めたGB規格、日本でいうJIS規格にあたるものが27個出されました。そのなかにはサイバーセキュリティ法関係も3つ(*)あります。このことから、個人的な見解ではありますが、中国政府は中国サイバーセキュリティ法に関して本気で取り組むものと考えます。

* GB/T 28449-2018 2019/07/01, GB/T 36958-2018 2019/07/01, GB/T 36959-2018 2019/07/01

宮岡 流動的な状況のなかで現地に進出している日本企業として何をすべきか、重要ポイントを教えてください。

松本弁護士 やはりネットワーク運営者にあたるのか、重要情報インフラ運営者に該当するのかを適切に判断した上で、もしネットワーク運営者にあたるのであれば、最低限その対応をすることが非常に重要になります。現地法規制で未確定なところも多いとはいえ、対応可能なところから始めておく必要があると思います。

2.現地日系企業の対応状況

宮岡 現地の日系企業について、対応状況はいかがでしょうか。

松本弁護士 私自身、中国で仕事をしていますが、中国に進出している全ての日系企業が適切に対応しているかというと恐らくそうではないと思います。一方、当方に全く相談がないわけでもなく、中国サイバーセキュリティ法に関して自分たちが何をすべきなのか、そもそも重要情報インフラ運営者にあたるのか、あるいは一般のネットワーク運営者なのか、そういった相談はあります。ただ、細かいデータのことは法律家では分からない部分もあります。その場合、外部のITセキュリティ専門家に依頼しアセスメントという形でやっていただくことはあります。

宮岡 中国サイバーセキュリティ法対応について、IIJの中国側及び、日本側への日本企業からの問い合わせ状況はいかがでしょうか。

2018年10月頃から相談件数は急激に増えています。中国サイバーセキュリティ法のアセスメントの一環で、日系企業複数の対応状況を調査する案件があり、その結果に少し驚きました。B to C業界の6-7社が、早い企業では2018年10月1日、遅い企業でも2019年1月1日付けで、Webサイトの約款を中国サイバーセキュリティ法の個人情報保護に関する要求を意識して改訂されていました。以前はセキュリティ事故などで過去に苦い経験をした企業のみが事後対応として対策を実施していましたが、最近中国当局による取締りが強化されるなか、積極的に事前対応している企業が増えており、現地の日系企業全般の意識が高まっているようです。

3.国外持出規制

宮岡 IIJにも問い合わせの多いデータの越境移転への対策について、松本先生よりコメントいただけますでしょうか。

松本弁護士 一般のネットワーク運営者か、重要情報インフラ運営者かで対応が変わってきます。ネットワーク運営者の場合は現在意見募集稿中ですが、今後どうなるか分からない状況です。重要情報、個人情報が一切持ち出せないという状況ではなく、むしろ社内のITセキュリティ体制の強化を行う必要があります。個人情報であれば個人の同意を得た上で、高度なプライバシーに関わるものかどうかの検討、重要情報であれば国家の安全に関するものかどうか、それをきちんと判断するプロセスができているかが非常に重要になります。仮にこれができていない場合は、当局からペナルティを受ける可能性があります。

宮岡 日本本社にとって、中国拠点は数ある海外拠点の1つであり、本社として海外拠点のガバナンス強化にどのように、そしてどこまで取り組むべきかが重要課題になると思いますが、実効性という観点から、日本本社にとって実務上留意すべきポイントがあればお聞かせください。

実効性について2点あります。1つ目は積極的な事前対応の重要性、2つ目はこの法律におけるITセキュリティ対応の重要性です。まずインターネットは技術変革が激しい分野であり、このためデータの取扱い方法も変動していきます。法対応のみに終始すると、技術変革のスピードに伴い現場の実情も刻々と変動するため、法対応と現場実務に乖離が生じ、コンプライアンス上のリスクは払拭できないままとなってしまいます。このような背景もあり、取締り活動などから得られる教訓も踏まえて、中国当局は法律を改訂し続けることがあり、いつまで経っても法律が最終的には確定しない状況も考えられます。このため、法律の準拠性だけでなく、業務プロセスについてコンプライアンス上問題が無いかという点も注視して、日本本社には対応いただいた方が良いかと思います。

宮岡 松本先生は上海に9年いらっしゃって、現地日系企業からの生の声を肌で感じておられると思いますが、中国現地側と日本本社側の取組み姿勢について温度差は感じられますか。

松本弁護士 日本側で法務を全て担っている場合では、本社の方がすごく気にかけていて中国現地があまり気にしていないというケースがあります。その逆もありますがその企業によります。私の方にご相談いただくのは中国現地法人が6、7割と多く残りが日本本社側という感じです。

宮岡 GDPRでは、2019年1月末にGoogleへの巨額制裁金事例発生などもあり、今後の動向に多くの日本企業が注目していますが、数年前はGDPRも現在の中国サイバーセキュリティ法と同じ状況でした。中国サイバーセキュリティ法も今後制裁事例が出てきて日本企業に積極対応が求められる可能性もあるかと思います。多くの日本企業は、R&D、製造、販売、流通経路として中国を重視していると思いますので、今後当局による取締り活動がどうなるかは注目すべきポイントかと思います。

4.初期アセスメントの重要性

宮岡 初期アセスメントが重要ということで実際にIIJへの問い合わせも多いようですが、その背景は何かあるのでしょうか。

中国律師によれば、中国サイバーセキュリティ法はプロセス重視、GDPRでいうリスクベースアプローチがある程度許容されています。その場合、最初に明確にしないといけないのは、自社への法的・ITセキュリティ的要件です。具体的には、4つある法律(①個人情報及び重要データ越境転送セキュリティ評価規則、②情報セキュリティ技術データ越境転送セキュリティ評価ガイドライン、③セキュリティ技術個人情報セキュリティ規範、④サイバーセキュリティ等級保護条例)の、ネットワーク運営者、重要情報インフラ運営者、ネットワーク製品・サービス提供者、その他のなかで自社がどこに該当するか次第で、求められる越境転送における義務、ITセキュリティ面で満さなくてはならないレベル感がかなり変わります。その観点から自社の立ち位置を明確にすることが先決だと日系企業の担当者は考えているようで、これまでIIJに多くのお問い合わせがあるという状況です。

宮岡 内部監査には、準拠性監査とプロセス監査の2つがあります。準拠性監査は自社が各種法令や社内規定に従っているかどうか、YesかNo、白か黒かの世界で比較的判断基準は明確なものです。一方でプロセス監査は、判断基準が非常に定性的で、ファジーで流動的な現地法規制のなかで、初期アセスメント実施の際は何をベースにプロセス(内部統制)の有効性について検討・評価していくかが重要なポイントだと思います。そのあたりで松本先生からコメントございますか。

松本弁護士 どこまで行えばそれがOKなのかというところは比較的抽象的で曖昧なところもあると思います。ただ、ゼロですよ、全く何もしていませんということであれば、それはアウトになると思います。よって、「当社としてはこう判断して対応を行い、ここまでで足りていると思います」ということを提示できるような体制構築が実務的には重要です。

宮岡 それでは李さんの方からIIJの初期アセスメントと詳細アセスメント、アドバイザリサービスについて簡単にご説明いただけますでしょうか。

まず中国当局による抜打ち監査や取締り状況ですが、大きく二つのアプローチがあり、一つ目は企業にセルフアセスメントを義務付けるという自己評価を要求するアプローチ。二つ目は自社の立ち位置がネット安全等級保護制度の等級3~5となった場合、中国政府指定機関による認定資格取得を要求するアプローチがあります。この認定資格取得時のチェック方法は①リモート監査と②オンサイト監査の2種類があります。
リモート監査は、ネット警察またはネット警察の委託を受けた組織が、企業のITインフラに擬似攻撃をかけます。オンサイト監査は、実際に現地拠点のITシステムへの監査だけではなく、社員へのインタビューもあり、現状どのように対応しているのか、今後どのように対応しようとしているか、ドキュメンテーション(文書類)の提出を当局から求められます。このような取締り動向を勘案したうえで、IIJの初期・詳細アセスメントを説明いたします。
初期アセスメントは、自社組織の立ち位置の確認、順守すべき義務、現状とのギャップ認識(概要レベル)、次フェーズでの実行計画立案が主な目的です。その後の詳細アセスメントでは、自社組織の状況把握(詳細)、順守すべき義務、現状とのギャップ認識(詳細レベル)、暫定対策、恒久対策の実施計画立案が主な目的となります。
IIJビジネスリスクアドバイザリーサービスは、当社コンサルタントが各企業の個別事情に沿った単発コンサルティングを、よろず相談窓口的な立場で柔軟に実施し、対応時間に応じて課金するといった内容になります。詳細は当社までお問合せください。

(後編に続く)

IIJグループではこれまで中国サイバーセキュリティ法対応セミナーを継続的に実施してきましたが、今回日本企業にとっての喫緊の課題が再認識できたセミナー内容となりました。今後のセミナーや各種サービスについてはIIJビジネスリスクマネジメントポータルをご覧ください。