中国サイバーセキュリティ法への対応状況と取り組み事例

ヒト・モノ・組織・社会インフラなどがあらゆる境界を超えて繋がるデジタル時代に突入し、サイバーセキュリティは企業の重要な経営課題のひとつであると同時に、あらゆる経営改革に欠かせない要素となっています。さらに、COVID-19以降、世界的にもサイバー攻撃は増加しており、サイバーセキュリティの強化は急務となっています。また、筆者が駐在する中国では2017年6月の「中国サイバーセキュリティ法」施行以降、中国でビジネスを行う企業に様々な影響を及ぼしており、規制環境としても優先的に対応が必要な経営課題となっています。

デロイト トーマツ グループでは、様々なクライアントを取り巻くサイバーセキュリティの課題に対して、サイバー戦略立案からオペレーションに至るまで一気通貫のサービスを提供しています。本稿では、中国における日系企業の最近の取り組み状況をご紹介いたします。

現地状況

現地日系企業のサイバーリスクへの対応状況としては、規制が厳しい自動車関連の企業では対応が進んでいました。自動車業界以外の業種での対応状況は様々ですが、筆者の感覚としては、対応はこれからという日系企業が多い状況です。特に現地で課題となることが多いのは中国サイバーセキュリティ法への対応ですが、こちらは基本法であり、各種公的機関、業界団体から規則、細則及びガイドライン等の様々なレベルの規制が順次出されるため、全体像の把握や、タイムリーな対応が難しくなっています。論点となる項目だけでも、等級保護、個人情報保護、データ越境移転など多くの要素が含まれます。施行開始当初は少なかった同法違反の処罰事例は2019年より急増しており、特に等級保護制度については、対策を進めるうえで重要な指針となる「サイバーセキュリティ等級保護制度」（以下、等級保護2.0）が2019年12月に適用となり、当局の取り締まりも強化されているため、これまで対応していなかった日系企業も検査対象となることで違反となるリスクが高まっている状況です。

日頃、現地企業のマネジメントの方と会話していても、中国サイバーセキュリティ法の言葉自体は聞いているものの、対応はしていない、具体的な対応はIT担当者に任せているということが多く、サイバーセキュリティについても、下記のような相談をよく頂きます。

• サイバーセキュリティと言っても何をどこまでやればいいのかわからない
• 日本本社から、中国サイバーセキュリティ法については現地責任で対応を任されている（日本本社からのサポートがない）
• 規制対応だけでなく、会社にとって重要な項目に対応できるように取り組みたい

取り組み事例

前述の通り、サイバーセキュリティと一口に行っても対応すべきリスクは体制面、技術面および、技術面で対応すべき対象としても、アプリケーション、サーバー、ネットワーク、クラウドと広範に渡り、何をどこまでやるべきかは企業が置かれている環境、業種、目的等により異なります。ここでは、一般的に日系企業で多い取り組みアプローチとその特徴を3点紹介します。

セキュリティアセスメント

規制対応にとどまらず会社ビジネスにとっての重要性も踏まえ、セキュリティが脆弱な領域をアセスメントします。全体的なリスク評価を実施することでその後の対応範囲及び優先順位を整理して進めることが可能となります。

ビジネス上のセキュリティを重視した進め方ですが、中国サイバーセキュリティ法の対応が求められる中国においては、同法への対応状況も合わせてアセスメントすることが効率的に進めるポイントとなります。

中国サイバーセキュリティ法対応

中国サイバーセキュリティ法の要求項目に基づき対応を実施します。当該法律は包括的なものとなっているため、法が要求する一通りの対応を図ることが可能となります。一方で、会社のビジネスにとって重要なシステム、データ等が必ずしも対象範囲に含まれない可能性がある点は留意が必要となります。

同法対応でも、項目全体のアセスメントから対応要否の判定、優先度を確認して進める場合や、前述した通り現状で最も優先度の高い等級保護に関する対応から進める場合があります。現地日系企業では、顧客など多数の個人情報を保有していない、データは中国大陸内のみの利用など、個人情報保護、データ越境移転については対応の重要性が高くないケースもありますが、等級保護については、現地ウェブサイト保有により、当局への届け出が必要な等級保護の重要性が2級以上に該当するケースが多く、こういった企業の場合には等級保護対応から始めることが効率的です。

情報及びプライバシー保護対応

企業にとっての重要な情報及び顧客情報等の個人情報の保護に着目した対策を実施します。個人情報保護は中国サイバーセキュリティ法でも対応が求められる事項となり、特にBtoCビジネスを行う企業にとっては一般的にリスクが高い領域となります。個人情報については、顧客情報など多数の個人情報を自社で保有しているかがポイントになりますが、当該顧客情報管理システムをサードバーティーが保有している場合であっても、管理者として、サードパーティーが当該システムについて適切に対応しているかに留意が必要です。

また、2020年10月に中国の個人情報保護法（草案）が公表され、GDPRに似た厳しいものとなっており、違反によっては罰金が「5000万元以下又は前年度売上高の5％以下」と影響が小さくないことからその動向が注目されています。

デロイト トーマツ グループでは、サイバーセキュリティ強化に資するため、サイバーセキュリティ戦略から、予防、発見および対応のフレームワークに基づき、様々な場面で企業が抱える経営課題、経営改革を包括的に支援しています。

著者：矢内隆一
※本ニュースレターは、2021年1月12日に投稿された内容です。