スキップしてメイン コンテンツに移動

中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1)

 

 2017年7月11日、中国サイバースペース管理局(国家互联网信息办公室:Cyberspace Administration of China (以下「CAC」という) は、 「サイバーセキュリティ法(中华人民共和国网络安全法:以下「CSL」という)」 (筆者注0)第31条にもとづき重要情報インフラストラクチャーの保護に関する規則草案(draft Regulation on the Protection of Critical Information Infrastructure (以下「規則草案:CII Regulation」という)に対するパブリックコメントの公募を行った。このコメント期間は、2017年8月10日に終了する。 

 もともとCACは、2017年6月1日の、サイバーセキュリティ法の施行日に合わせて2017年4月11日に個人情報および重要データの国外移転におけるセキュリティ評価にかかる規則草案(Draft circulated by the Cyberspace Administration of China (CAC) on April 11, 2017.)を、パブリックコメントに付した。この規則草案は、国際社会から激しい批判を受けたが、大きな変更がないまま2017年6月1日に発効する見込みであった。注目すべきは、この規則草案によって、データ・ローカリゼーション要件(筆者注1)が適用される企業の範囲がさらに拡大し、中国においてコンピュータシステムを用いる企業に広く適用される可能性があるという点である。第一次のパブリックコメントの提出期限は2017年5月11日と、新法の施行のわずか3週間前という問題も指摘されていた。

 このような立法手続きの不手際問題はもとより、保護法の立法内容がわが国はじめ海外企業にとっていかなる影響があるかを考えるのが今回のブログの主な目的である。

 なお、サイバーセキュリティ法の内容についての解説は企業実務的にみると、本文で述べるとおり日本語解説としてはデロイト・トーマス事務所のものが参考になるし、またCII Regulationの内容については、Norton Rose Fulbright LLP のCII Regulation解説文「China Seeks Comment on Draft Regulation on Critical Information Infrastructure」、さらに法律および規則・ガイダンスの内容面からの問題指摘はCovington&Burling LLPの特別弁護士(special counsel)  

罗嫣 Yan Luo 氏 (同弁護士のプロファイルの中国語版 )が2017年7月17日付けInside Privacy「China Seeks Public Comments on Draft Regulation on the Protection of Critical Information Infrastructure」などで多くを述べており、本ブログでも積極的に引用した。 

 一方、中国の個人情報保護法制、個人情報保護評価認証(PIPA)ガイダンス、運用の理解いたが実務的にはもっとも重要な点であり、それには大連ソフトウェア産業協会サイト (筆者注2)の日本語解説がもっとも有用であり、本ブログでも適宜引用した。同時に、中国のサイバーセキュリティ法と緊密な関係にある個人情報保護法体系についても筆者が知りうる範囲で中国内に拠点をもつ海外の主要ローファーム(DWT)の解説をも引用した。 

 さらに重要な点は、中国が取り組んでいる重要視している点が規則案の策定にとどまらず、中国の新しいサイバーセキュリティー法の下で審査された特定のネットワーク製品のリストである「カタログ」の第一次のバッチ・カタログをリリースした点である。CACが中国のサイバーセキュリティ・レビュー・メカニズムの特定の規定に関する最新情報を提供し続けているため、これらの新しい機器の規定内容を理解することが企業実務にとって最も重要であることから、わが国では皆無といって良いこの問題の解説を試みた。 

 最後に多くのレポートを各観点から取り上げ引用、紹介したため、内容に一部重複が生じた。機会を改めて整理したい。 

 今回は、4回に分けて掲載する。 

Ⅰ.中国の「サイバーセキュリティ法(中华人民共和国网络安全法)」の概観

 翻訳した網羅的逐条解説資料としては、2017年4月デロイトトーマツ「中国サイバーセキュリティ法の概要と日本企業に望まれる対応:季刊誌「企業リスク」(第43号2017年4月号)「研究室」のサイトから資料をダウンロードのうえ参照されたい。 

Ⅱ.新サイバーセキュリテイ法成立前の中国の越境データ移転にかかる規制内容

 Covington&Burling LLPの特別弁護士(special counsel) Yan Luo 氏が、新サイバーセキュリティ法で提案された変更点を説明するとともに、海外の企業が新しい中国のデータ移転要件に準拠するために取るべきデータ移転に関する法令遵守戦略について2017年2月14日 付けEURObizで以下のとおり解説を加えている。

 (1) 中国が2016年11月7日に新しいサイバーセキュリティー法を制定する以前は、国境を越えたデータ移転は政府によってほとんど規制されていなかった。多くの中国の法律や規則がデータの収集、使用、保管(データ・ローカリゼーションを含む)に適用されていたが、拘束力のある法律や規制に適用される法的要件や中国国境を越えたデータ移送の制約はなかった。

 (2)サイバーセキュリティー法の立法の前後に見る中国の施策の大きな変化

 2017年6月1日にサイバーセキュリティ法が施行されれば、国境を越えたデータ移転の規制状況は完全に変わるであろう。中国は国際的なデータ移転空間でとるべき別の重要な法的管轄概念を取り込んだ。

  法律が公布される前にも、中国はすでに業界固有の多くの規制においてデータのローカリゼーション要件を課すことにより、データに対する管轄権の統合を開始した。しかし、国境を越えたデータフローを規制する包括的な枠組みは存在しなかった。

  2012年に「公共および商業サービス情報システム (GB / Z 28828-2012)( 以下「ガイドライン 」という)(筆者注2)における個人情報保護のためのガイドラインが自主的で拘束力のない国家規格として発布された。  

 このガイドラインは、「個人情報主体の明白な同意、明示的な法的または規制上の許可がない場合、または権限のある政府機関の承認がない場合、個人情報の管理者(administrator of personal information)は、個人情報を海外に所在する個人または海外に登録された組織または機関への個人情報の移送を禁止する」と規定していた。しかし、このガイドラインは法的強制力がなく、実際には解釈上の牽引力をもっていなかった。 

************************************************************

(筆者注0) 中国日本商会(The Japanese Chamber of Commerce and Industry in China)のサイトが「中国サイバー セキュリティ法」仮訳(仮訳作成:JEITA/JLMC(電子情報技術産業協会 北京事務所 )でCLの全条文を仮訳している。 

(筆者注1) 2017年5月11日、 ジョンズ・デイ法律事務所の東京事務所の解説文から「データローカリゼーション」に関する解説を以下、抜粋する。

「データローカリゼーション:新法でおそらく最も議論を呼んでいる規定は、中国で収集または生成された「国民の個人情報および重要データ」を中国国内で保管することをCII事業者に要求している第37条(筆者注2-2)である。「重要データ」という用語は、新法において定義されていないが、第76条では、「個人情報」を、電子的にまたはその他の手段で記録された、単独でまたはその他の情報とともに、自然人の身元を特定するのに十分なあらゆる種類の情報と広範に定義しており、個人名、生年月日、身分証明書番号、個人生体認証情報、住所、電話番号等を含むが、これらに限定されない。

 新法ではさらに、「正当な業務上の理由」により、かかる情報を中国国外に移転する必要がある場合には、CII事業者は、国務院および国のサイバースペース部門が共同で制定した「セキュリティレビュー」(定義されていない用語)を行わなければならないと規定している。規定に従わなかった場合の罰則としては、所得の没収、罰金(違反した組織および担当者個人の両方)ならびに業務の停止が挙げられる。

 これらのデータローカリゼーションの新たな要件は、世界でも最も厳しいデータローカリゼーション要件に属する。後で「規則案によりデータローカリゼーションおよび国外移転の要件を拡大」で説明するように、中国のサイバースペース部門による2017年4月11日の規則案では、データローカリゼーションの要件がさらに拡大され、この義務が他のネットワーク事業者にも適用されている。・・・・・」

 (筆者注2) 2012年11月5日、中国の品質監督検疫総局と中国の標準化管理総局が共同で公的商業サービス情報システム(GB / Z 28828-2012)で公表した「2013年個人情報保護ガイドライン」をさす)。大連ソフトウェア産業協会の「中華人民共和国国家標準化指導性技術書GB/Z 28828—2012 发布时间:2015-8-7 作者:PIPA管理事務室 点击次数:876

情報セキュリティー技術の公共・商用サービス情報システムにおける個人情報保護ガイドライン」の日本語解説参照。 

(筆者注2-2 第37条の英訳・原文・和訳(和訳は筆者が仮訳した)をchina law translate .comサイトから引用する。

*Article 37: Personal information and other important data gathered or produced by critical information infrastructure operators during operations within the mainland territory of the People's Republic of China, shall store it within mainland China. Where due to business requirements it is truly necessary to provide it outside the mainland, they shall follow the measures jointly formulated by the State network information departments and the relevant departments of the State Council to conduct a security assessment; but where laws and administrative regulations provide otherwise, follow those provisions.

*第三十七条  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

*第37条 中華人民共和国の本土内での業務中に重要な情報インフラストラクチャ事業者によって収集または作成された個人情報およびその他の重要なデータは、中国本土内に保管しなければならない。ビジネス要件のために本土外に提供することが本当に必要な場合は、国家ネットワーク情報部門と国務院の関係部門が共同で策定した施策に従って、セキュリティ評価を実施しなければならない。法律および行政上の規定に別段の定めがある場合は、それらの条項に従う。

*********************************************************************************************

 Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...