「中国サイバーセキュリティ法」要点解説(1)

「中国サイバーセキュリティ法」要点解説(1)

中国律師(Not admitted in Japan)李 昱昊

 

■1.はじめに

「中国サイバーセキュリティ法」は、中国のサイバーセキュリティ戦略に関する事項を全面的にルール化した法令として、2016年11月7日、中国の全国人民代表大会常務委員会によって可決・公布されました。同法は、2017年6月1日から施行されています。
インターネットに関連する法規制は、これまでにも、各分野において個別法令や規則という形で制定されていましたが、「中国サイバーセキュリティ法」は、中国政府がサイバーセキュリティ分野において全面的な枠組みを定めた初めての法律となり、サイバーセキュリティ分野の基本法ともなります。

 

中国サイバーセキュリティ法は、基本法の性格を有し、運用に関する具体的な事項の多くは、同法に基づく細則や下位規則に委ねられています。しかし、それらの関連規定はまだ整備されていないため、同法は、必ずしも本格的に運用されているとはいえませんが、中国中央政府が主導するサイバーセキュリティ戦略を受けて、今後、関連規定が続々と発布され、サイバーセキュリティに関わる規制が強化されることが予想されます。

 

本稿では、三回に分けて、「中国サイバーセキュリティ法」の立法経緯、及びいくつかの基本的なルールについて説明していきます。

 

 

■2.サイバーセキュリティ法の立法背景

中国国内のインターネットユーザーの数は、2017年6月末現在、7億5100万人に達しており(※1)、インターネットは、国民生活の様々な面に普及し、個人、企業及び国家に多くの影響を及ぼすようになっています。一方で、インターネットの急速な発展に伴い、事故や情報漏えいなど、サイバー空間に存在するリスクと脅威も甚大かつ広範なものになっており、サイバー空間の安全性確保が、一層重要となっています。

 

また、中国政府は近年、国家安全に関する立法を進めている流れの中、サイバー空間の安全を国家の安全かつ重要な構成要素として位置づけ(※2)、サイバーセキュリティに関連する法制度を急速に構築しています。

 

こうした経緯をうけ、サイバーセキュリティ法第1条において、「サイバー空間の安全を保障し、サイバー空間の主権並びに国の安全及び社会の利益を保護し、公民法人その他の組織の適法な権益を保護し、かつ経済・社会の情報化の健全な発展を促進するため、本法を制定する。」と宣言されています。

 

 

■3.サイバーセキュリティ法の適用範囲

サイバーセキュリティ法第2条は、「中華人民共和国内におけるネットワークの構築、運営、維持・保護、使用並びにネットワークの安全監督管理について、本法を適用する。」と規定しており、中国の国内企業であるか外資企業であるかを問わず、中国国内のネットワークを構築・運営・維持・使用する場合には、サイバーセキュリティ法が適用されることとなります。

 

また、インターネットを通じて事業を行っている会社は、中国の国内に法人を有していなくても、中国に向けてビジネスを行う場合には中国のインターネットを使用することになりますので、基本的にサイバーセキュリティ法の適用範囲に入ることとなります。

 

 

■4.重要情報インフラストラクチャー運営者

サイバーセキュリティ法第31条から第39条は、安全保護義務、国家安全審査義務、個人情報及び重要データの国内保存義務・国外移転安全評価実施義務及び安全リスクの検査評価義務など、「重要情報インフラストラクチャー運営者」の責務を中心に規定しています。

 

サイバーセキュリティ法は、この「重要情報インフラストラクチャー」という概念を導入しました。同法第31条は、「国は、公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービス等の重要業界及び分野や、一旦機能の破壊若しくは喪失又はデータ漏えいに遭遇すると、国の安全、国民の経済・生活及び公共の利益に重大な危害を及ぼすおそれのある重要な情報インフラストラクチャーについて、ネットワークの安全ランク保護制度に基づき、重点的な保護を実施する。重要情報インフラストラクチャーの具体的範囲及び安全保護弁法については、国務院がこれを制定する。」と規定しており、「重要情報インフラストラクチャー」を運営する企業が、「重要情報インフラストラクチャー運営者」に該当するという構造となっています。

 

しかし、国務院規則はまだ未制定であるため、この条文をみるだけでは、「重要情報インフラストラクチャー」の範囲は、明確ではありません。しかし、サイバーセキュリティ法制定前の既存の規制を参考にすると、「重要インフラストラクチャー」、「重要分野ネットワーク・情報システム」等、解釈の参考となるいくつかの条項が存在します。

 

「国務院弁公庁による重要インフラストラクチャー安全リスク調査の実施に関する通知」(2007年第58号)「《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号」においては、「重要インフラストラクチャー」という概念の範囲として、道路、鉄道、水上輸送施設、大型保水施設、大型炭鉱、重要発電施設、石油・ガス施設、都市インフラストラクチャー施設といったものが非限定列挙されています。また、2012年度中国国務院による「重要分野ネットワーク・情報システム安全検査報告書」「《2012年重点领域网络与信息安全检查总结报告》」においては、「重要なネットワーク及び情報システム」という概念について、国の安全保障、経済活動の秩序、社会安定に影響を及ぼす重要なネットワーク及び情報システムと言及されています。これらの文言は、関連規則が未制定の現在の状況においては、サイバーセキュリティ法における「重要インフラストラクチャー」の解釈に大いに参考になると考えられています。

 

以上のように「重要インフラストラクチャー」の定義は明確ではありませんが、現時点においては、以下のような業種・企業が重要インフラストラクチャー運営者にあたると考えられています。

(1) 基礎情報ネットワーク:ブロードキャストネットワーク、電気通信網、インターネット等を含む。

(2) 重要産業・公共サービスにおける情報システム:原子力管理システム、クレジットカート取引システム、交通輸送システム、水道供給管理システム、社会保障情報システム等を含む。

(3) 電子政府情報システム:政府機関の情報システム・政府機関ホームページ等を含む。

(4) 国家安全情報ネットワーク:軍事通信ネットワーク、軍隊指令自動化システム等を含む。

(5) ユーザー数の多いネットワークサービスプロバイダーの情報システム、Baidu、Alibaba、Tencent等のIT大手会社が運営するネットワークやシステムを含む。

 

また、中国政府が2017年7月10日に公布した「重要情報インフラ安全保護条例(意見募集稿)」「《关键信息基础设施安全保护条例(征求意见稿)》」においては、「重要情報インフラ」を以下のとおり例示しています。以下の内容はあくまでも条例案の段階のものであり、当該条例が正式に制定されるときに変更される可能性がありますが、該当する可能性のある企業は注意が必要です。

①政府機関及びエネルギー、金融、交通、水利、衛生医療、教育、社会保険、環境保護、公共事業等の業界・分野の企業

②電信ネットワーク、ラジオ・テレビネットワーク、インターネット等の情報ネットワーク、並びにクラウドコンピューティング、ビッグデータその他大型公共情報ネットワークを提供する企業

③国防科学技術工業、大型設備、化学工業、食品・薬品等の業界・分野の科学研究生産企業

④ラジオ局、テレビ局、通信社等の新聞企業

⑤その他の重点企業

 

 

■5.「三つの同時」の原則

サイバーセキュリティ法第33条においては、「重要情報インフラストラクチャーの建設にあたっては、当該重要情報インフラストラクチャーが業務の安定的かつ持続的な運行をサポートする性能を持つことを確実に保証し、なお且安全技術措置の同時計画、同時建設、同時使用を保証しなければならない。」と規定されています。

 

このように「サイバーセキュリティ法」は、重要情報インフラストラクチャーの建設において、「同時計画、同時構築、同時使用」という「三つの同時」の原則を明確に要求しています。その目的は、重要情報インフラスラトクチャーのシステムライフサイクルの全段階において担当部署・セキュリティ責任者を定め、そのライフサイクルの全段階でセキュリティの確保を同時に展開し、事前のセキュリティ保護を強化することによって、サービス運営段階におけるセキュリティメンテナンスの負担の軽減をはかるものとされています。

 

「サイバーセキュリティ法」におけるこの「三つの同時」の原則は、中国の「安全生産法」「《安全生产法》」(※3)と「環境影響評価法」「《环境影响评价法》」(※4)にも同様の規定が存在し、上記二法における制度が長期的に実施されてきた経緯がありますので、かなり標準化されているものともいえます。したがって、「サイバーセキュリティ法」の「三つの同時」の原則を理解と実施するにあたっては、上記二法を参考にすることができます。

 

具体的には、「三つの同時」の原則とは以下のように解釈されます。

1.同時計画:重要情報インフラストラクチャーの事業計画の段階において、セキュリティ要件を取り込み、セキュリティ対策を導入すること。

2.同時構築:重要情報インフラストラクチャーの構築工事の段階において、契約条件や法的義務の確保によって、建設業者、製造業者の責任を明確し、関連する技術的措置の円滑かつタイムリーな施工、導入、検収の確実性をはかり、安全対策の要件を満したシステムプロジェクトのみローンチできるように確保すること。

3.同時使用:セキュリティ検収後のシステムの維持と運営において、継続的なセキュリティ体制を確保すること。

 

 

(※1)
中国インターネット情報センターが発表した第40次「中国インターネット発展状況統計報告」「《中国互联网络发展状况统计报告》」の統計データを参照

(※2)
中国国家主席習近平が2014年2月27日に共産党中央サイバーセキュリティ&情報化指導グループ第一会議での発言を参考。
記事「《习近平主持召开中央网络安全和信息化领导小组第一次会议 李克强刘云山出席》」
を参照:news.cntv.cn/2014/02/27/ARTI1393505811056603.shtml(2018/12/28にアクセス)

(※3)
同法は、2014年8月31日に中国全国人民代表大会常務委員会により改正・公布され、同年12月1日から施行されました。

(※4)
同法は、2016年7月2日に中国全国人民代表大会常务委员会により改正・公布され、同年9月1日から施行されました。

ECのサービス詳細はこちら

中国のサービス詳細はこちら