はじめに

JPCERT/CCは、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュースの収集および分析を行っています。vol.1、vol.2もご覧ください。vol.3の今回は、中国におけるサイバーセキュリティ関連の法整備がテーマです。

※この記事は一部、JPCERT/CCとしての公式見解ではない、職員の私見を含んでいます。

キャラクター紹介

名前：マーシー 3歳のねこ 好奇心旺盛で、独り言が多い。 飼い主がサイバーセキュリティの仕事をしている。	名前：モチチロー 7歳のいぬ コミュ力が高く、なにかと事情通。 RSSリーダーや各種SNSを駆使する姿はさながらIT業界人。	名前：ピーチコ　6歳のとり モチチローの幼なじみ。 情報源は主に渡り鳥の噂話で、いつかは自分も空を飛んで海を渡ることを夢見ている。

「サイバーセキュリティなくして国家の安全はない」

マーシー、今日は友達を連れてきた！紹介するね、こちらはピーチコ。

ピっ。話は聞いてたよ～元気なねこちゃんがいるってね！モチチローはこの分野のおしゃべりができる友達ができたって嬉しがってるよ。ピーチコも仲間に入れてね。

ピーチコはアジアのセキュリティ政策に詳しいよ。情報交換が楽しくて、寝る直前までよく喋ってる。

子犬と雛鳥からの古い仲よ。飼い主がペットショップから一緒に連れて帰ってきてくれたから、今があるんだピっ。

いいコンビなんですね！(このニッチな話題で盛り上がれるとは、まさに奇跡…)ピーチコはどうしてアジア圏を調べてるの？

日本企業が多く進出しているからね。渡り鳥のお友達から話を聞いて、身近に感じるのは中国ね。

中国のサイバーセキュリティ政策に関する記事や書籍は日本でもよく見かけるけど、なんだかとっつきにくいなあ。最近注目していることはなに？

そうねえ…2017年6月に「サイバーセキュリティ法［1］」が施行されてから、さまざまな法令や関連規則が立て続けに作られていることかな。

経済や生活面だけじゃなく、サイバーセキュリティ分野の近代化もどんどん進んでそう！

2021年には、データの取り扱いやセキュリティ保護の規則をまとめた「データセキュリティ法［2］」や、個人情報の取り扱いと保護の規則をまとめた「個人情報保護法［3］」が施行され、「サイバーセキュリティ法」と合わせて3つの重要な基本法が揃ったの。その他にも、ネットワーク製品の脆弱性の発見や報告、修復、公表などの行為を規制する「ネットワーク製品セキュリティ脆弱性管理規定［4］」や、中国国外へ重要なデータや個人情報を移転する上で行うべき安全評価手続きを定めた「データ越境安全評価弁法［5］」のような、サイバーセキュリティ法に紐づく運用ルールやガイドラインなどが多く発行されているんだピっ。

わわっ。法律の名前が次々と…どうして中国の動きは加速しているの？

2014年にサイバーセキュリティを統括する政府機関が新設されてから、中国のサイバーセキュリティ政策に関する動きが加速しているよ。かつて習近平国家主席が「サイバーセキュリティなくして国家の安全はない、情報化なくして現代化はない」と述べたことがあって、国策としてサイバーセキュリティ強国を目指しているの。政策や法律の整備を進め、それに則った運用や取り締まりの強化を行うことで、官民のセキュリティ対策の意識や能力を高めようとしているよ。 サイバー攻撃の脅威が世界的な問題となっている中で、こうした取り組みは、中国の姿勢や考えを対外的に示すねらいがあると思うんだピっ。

実際は、国家としてどんなコントロールをしているの？

違反の内容によっては罰金や事業停止などの罰則があるよ。例えば、中国企業のセキュリティ対策の不備や個人情報の不適切な取り扱いなどが発覚して、サイバーセキュリティ法に基づいた処罰や是正命令を受けたケースが報じられているね。

おおう…中国には日本企業もたくさん進出しているよね。どんな影響が出ているの？

日本企業も含め、中国で事業を展開する外資系企業にもこれらの法律が適用されるから、自社のシステム評価をしてセキュリティ対策を検討したり、社内でセキュリティ管理体制を整備したりと、組織の状況に応じた対策をとっているみたいよ。

ふーん。じゃあ法務部門とか、情報システム部門が一緒になって対応していかないといけないね。

そうなの。次から次へと関連規則やガイドラインが公開されているから、対応する側もきっと大変だと思うよ。でも、そのために法律事務所やコンサルティング会社などが、日本企業向けにサイバーセキュリティ法などの解説記事や、参考になる情報を公開しているの。これらは対策のポイントを把握するのに役立ちそうだね。

そうなんだ！ピーチコさん、すごい記憶力抜群！

ピっピっピ。ちょっと早口で喋れるただの鳥っピ！

（いや…法律の名称を一息で言えるなんてただものじゃない…！) もう少し教えてほしいことがあるんだけど…いいかな？

ピピっ。なんでも聞いてみて！

（会話に入る隙がないな…盛り上がってるし…まぁいいか…）

（つづく)

おわりに

マーシーがピーチコに聞いてみたいこととはなんでしょうか？お読みいただきありがとうございました。ご感想をお待ちしております。

国際部　登山 昌恵、米澤 詩歩乃

参考情報

［1］ サイバーセキュリティ法
http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml

［2］データセキュリティ法
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

［3］個人情報保護法
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

［4］ネットワーク製品セキュリティ脆弱性管理規定
http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm

［5］データ越境安全評価弁法
http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm