中国におけるデータ安全法の施行 ブックマークが追加されました
ナレッジ
中国におけるデータ安全法の施行
APリスクアドバイザリー ニュースレター(2021年8月2日)
中国で2017年にサイバーセキュリティ法が施行されて以降、個人情報や重要データの保護が提唱されてきたところですが、今回重要データ保護に係る中国データ安全法が2021年6月10日の第13回全国人民代表大会常務委員会の第29回会議で可決され、2021年9月1日に施行される事が正式に決まりました。サイバーセキュリティ法および2020年10月に草案が公表された個人情報保護法と合わせ、中国におけるデータ管理に関する主要3法の1つとも位置付けられる法律となります。
【中国データ安全法の位置づけ】
当該中国データ安全法は、データ利用の拡大が進む社会情勢の下で、国家の安全保障と公共の利益保護、経済社会の発展を目的として制定されたものであり、中国におけるデータの取り扱いについて包括的に定めた初めての法律と言えます。当該法令は上位法令の位置づけであり、実務上の具体的な運用方法等については今後の関連法規やガイドラインの策定が待たれるところではありますが、データの安全保護義務や越境移転制限が課せられる等事業遂行上の制約になる事が想定され、また公開草案と比較して罰金の金額が大幅に引き上げられ(最高1,000万元の罰金)事業の停止や事業免許の取消もあり得る等厳しい罰則規定も設けられています。そのため、中国でビジネスを行う日系企業においても、例えば、従来事業運営上得たデータを日本に送りマーケティング分析や研究開発に役立てているケース等において、状況によっては中国国内で保管、実施が必要になる等事業運営に与える影響が大きいことから、今回データ安全法の概要とポイントについて紹介します。
中国データ安全法の適用範囲は、中国国内において展開するデータ処理活動と定められており、データとは、電子的またはその他の手段による情報の記録とされ、データ処理とは、データの収集、保存、使用、加工、移動、提供、開示等の行為を指すと定義されています。また、中国データ安全法第三章で国が構築するデータ安全管理制度が規定され、第四章ではデータ処理を行う組織と個人に求められるデータ安全保護義務が規定されています。
【中国データ安全法の全体像】
データ安全管理体制の構築
国は、データの重要度およびデータが一旦改ざん・破壊・漏洩・不法取得・利用された場合に、国の安全・公共の利益或いは公民・組織の合法的な権益へ与える損害の程度によって、データをランク付けし管理します。また、各地区、各業界に重要データ保護リストを作成し、当該リストに登録されたデータを重点的に保護することになります。また、データ安全メカニズムとして、データ漏洩等のインシデントが発生した場合に主管部門による緊急計画の発動、緊急応急処置による被害拡大の防止、公衆に関係ある警告情報の発表義務等を定めた緊急対応制度の構築および国の安全に影響を与える、または影響を与える可能性のあるデータ処理活動に対し国の安全審査委を実施するデータ安全審査制度の構築を規定しています。
この点、どのようなデータが重要データに該当するかについては当該法令では明確に規定されておらず、今後業界や地域ごとに明確化される事になるため、今後の動向に注意が必要となります。
データ安全保護義務と越境移転の制限
データ処理を行う組織と個人に対し求められる義務として、データ処理を行う際は、セキュリティ管理制度を構築し、安全管理の教育研修を実施すると共に関連する技術措置をとり、データの安全を保障しなければならないとされています。またリスクモニタリングの強化、リスク発見時の是正が求められると共に、インシデント発生時には速やかな使用者への通知および関連する主管部門への報告が求められます。
さらに重要データ処理者については追加的義務が課されており、データ安全保護の責任者と管理組織を設けデータ安全保護の責任を明確にする必要があり、データ活動について定期的なリスク評価・主管機関への報告が必要となりより厳しい管理が求められます。
上記安全保護義務に加えて、中国国内で収集、生成した重要データの中国国外への移転には制限がかけられており、重要情報インフラ運営者の場合は中国サイバーセキュリティ法の規定に従うとされています。重要データは国内において保存されなければならず、業務上の必要性により国外に提供する必要がある場合は、国家網信部門および国務院関連部門の定める方法によりセキュリティ評価を行う必要があります。また、重要情報インフラ運営者以外のデータ処理者の場合は、その国外移転の管理については国家網信部門と国務院関連部門が定めるとされ具体的な管理方法については現時点では定まっていない状況ですが、中国個人情報保護法(草案)38条、40条の規定(個人情報の国外移転の条件)等を参考に今後定められる事になると思われます。
まとめ
データ処理に関する義務や制限が規定され中国でビジネスを行う日系企業においても大きな影響をもたらす事が想定される中国データ安全法ですが、当該法令は上位法令であり、重要データの定義や具体的な審査体制、どのような行為が違反の対象となるのか等の詳細な点については本法令上明確に定められておらず、その解釈や具体的な運用については、今後関連法規やガイドライン等で示されることが想定されます。詳細な点についてはまだ定まっていないものの、自社の中国ビジネスにおいてどのような場面でどのようなデータがあり、どのようなデータ処理を行っているのかについて、ビジネス全体を通して包括的な棚卸を実施し、今後関連法規やガイドライン制定時に速やかにコンプラアインス対応を図る事ができるよう、今から準備しておく事が重要と考えられます。
デロイト トーマツ グループでは、今回紹介したデータ安全法への対応を始め、サイバーセキュリティ法、個人情報保護法対応を含めたデータ管理全般に係る総合的なコンプライアンスギャップ分析、改善支援等が可能です。詳しくは、デロイト トーマツのプロフェッショナルまでお問い合わせください。
著者:加藤 宗一郎
※本ニュースレターは、2021年8月2日に配信された内容です。
アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。