筆者は、さる8月1日付けのブログ「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その2)」 で詳しく論じたが、法律の内容もさることながら各ガイドラインの内容も含め体系的理解には、なお課題が大きいという印象を持たれた読者が多かろう。
これは米国の中国系弁護士でも同様の見方が多く、たとえば、Grace Chen氏は「中国サイバーセキュリティー法(中华人民共和国网络安全法)は、今後の実施のためにいくつかの問題を残している。法律はすでに施行されているが、かなりの数の問題が未解決のままであり、法律を遵守しようとする企業や個人は置き去りにされている」 と指摘している。
この点に関し、筆者は補完する意味で今回も含め数回に分けて以下のようなテーマに関するブログを掲載することとした。なお、今回以外の各標題はあくまで仮題であり、また必要に応じ統合または分割して掲載する。
①「中国のサイバーセキュリティ法施行に関連する4つの任意ガイドライン草案の内容」
②「中国のサイバーセキュリティ法を正確な理解のために(What We Don't Know About China's New Cybersecurity Law)」前述のGrace Chen氏の問題指摘レポート
③ 「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解 (注)
④ 「越境による個人情報の移送にかかるセキュリティ・アセスメント・ガイドライン(China Releases Proposed Guidelines for Cross-Border Data Transfer Security Assessment)」の図解を含む内容とさらなる課題
〇中国のサイバーセキュリティー法に関連する4つの草案(任意ガイドライン草案)を発表、意見公募の概要
2017.9.5 Hunton& Williams「China Releases Four Draft Guidelines in Relation to Cybersecurity Law 」を仮訳する。なお、部分的に不正確な点があるので筆者なりに修正し、同時に各ガイドライン草案の中国語名などを補足追記した。
2017年8月30日、中国の「国家情報セキュリティ標準化技術委員会(National Information Security Standardization Technical Committee:全国信息安全标准化技术委员会 )」9/6(44)は、中国の「サイバーセキュリティー法(中华人民共和国网络安全法)」に関連する4つの任意の遵守ガイドライン草案を発表「关于征求《信息技术 安全技术 匿名实体鉴别 第4部分:基于弱秘密的机制》等6项国家标准意见的通知」、2017年10月13日を期限とする一般意見公募を行った。
① 国境を越えた越境個人情報の移転にかかるセキュリティ・アセスメント・ガイドライン(proposed Guidelines for Cross-Border Data Transfer Security Assessment:数据出境安全评估指南):この第二次ガイドライン草案は、2017年5月に公表された第1次草案と比較して、「国内事業(domestic operations)」、「越境によるデータ移転(cross-border data transfer)」、「管轄権のある監督当局」といった新しい定義を明記した。これらのガイドライン草案によれば、中国に登録されていないネットワーク事業者は、中国の領土内で事業を行う場合、またはその領域内で製品またはサービスを提供する場合、依然として中国の「国内事業」を行っているとみなされる。 ネットワーク事業者によって収集されたデータが中国国外に保持されていなくても、海外の企業、機関または個人がリモートでデータにアクセスできる場合は、データの越境移転が可能とされる。これらのガイドライン草案は、管轄当局による自己評価と評価のための別個の評価手順を提供する。 セキュリティ評価では、「合法性(legality)」、情報の譲渡の「妥当性」および「必要性」、ならびに移転に伴うセキュリティリスクに関し、提案された国境を越える移転の目的に焦点を当てている。
② ネットワーク製品およびサービスの一般的なセキュリティ要件(网络产品和服务安全通用要求):この文書草案では、「一般的なセキュリティ要件」と、中国の国内で販売または提供されるネットワーク製品およびサービスに適用されるセキュリティ強化要件の両方を提供する。これらのガイドライン草案によると、「ネットワーク製品」には、コンピュータ、情報端末、基本ソフトウェア、システムソフトウェアなどが含まれる。また「ネットワークサービス」には、クラウドコンピューティングサービス、データ処理およびストレージサービス、ネットワーク通信サービスなどが含まれる。この草案の下での一般的なセキュリティ要件には、マルウェア防止、セキュリティ脆弱性管理、セキュリティ運用管理、ユーザー情報の保護が含まれる。さらに強化されるセキュリティ要件には、「アイデンティティ認証」、「アクセス制御」、「セキュリティ監査」、「通信保護」、「特定のセキュリティ保護要件」が含まれる。
③ 重要情報インフラストラクチャのセキュリティ検査と評価ガイダンス(关键信息基础设施安全保障评价指标体系):重要な情報インフラストラクチャのセキュリティ検査と評価の手順と内容を提供する。これらのガイドライン草案によると、検査と評価は、「コンプライアンス検査」、「技術検査」、「分析と評価」の3つの方法に分かれる。 セキュリティ検査と評価の重要なステップには、コンプライアンス検査の準備、実装、技術検査と分析と評価、リスク管理およびレポート作成が含まれる。
④ 重要情報インフラストラクチャーのセキュリティを保証するための指標システム (关键信息基础设施安全检查评估指南):このドキュメントは、重要な情報インフラストラクチャのセキュリティを評価する際の焦点として使用される指標を確立し、定義する。これらのドラフトガイドライン草案の下で議論される指標には、「運用能力指標」、「セキュリティ指標」、「セキュリティ監視指標」、「緊急時対応指標」などが含まれる。
*****************************************************
(注) 中国の安全牛 发 布《网 络 安全法 实 施指南》民間ネットワークセキュリティ法施行ガイドが、サイバーセキュリティ法の立法の背景、経緯、内容、保護対象、保護方法等を詳しく解説している。筆者の中国語の能力を超えるので翻訳は略す。
*************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿