中国サイバー安全法

中国サイバー安全法（中華人民共和国網絡安全法）は 2016 年 11 月 7 日に全国人民代表 会議において採択され、2017 年 6 月 1 日に施行された。全 79 条で構成されており、インタ

141 http://politics.people.com.cn/n1/2016/1009/c1024-28763695.html

142 http://www.lawinfochina.com/display.aspx?id=22826&lib=law

70

ーネットにおける中国の主権確保と安全保障を目的に、中国で事業を行なう外国企業に対 して、大きな影響をもたらすものである¹⁴³。同法の要点を以下 6 項目に、関連する主要条項 とともに示す。

【中国サイバー安全法の要点】

要点 1 個人情報の保護

第 22 条 ユーザ情報を収集するネットワーク製品およびサービス提供者は、ユーザにその 旨通知し、同意を得なければならない。

第 41 条 ネットワーク運営事業者は、法律、行政規則、ユーザとの契約に基づいて個人情 報を収集し、保管しなければならない。

第 42 条 ネットワーク運営事業は、収集した個人情報を開示、改ざんまたは破棄してはな らない。

第 44 条 個人も組織も、個人情報を取得するために情報を盗んだり、他の違法な手段を使 ったりしてはならない。

第 45 条 サーバーセキュリティを監視する法的責任を負う部署は、入手した全ての個人情 報を必ず機密扱いにしなければならない。

要点 2 重要情報インフラのセキュリティ

第 31 条 国は、サイバーセキュリティ保護に関して、公共通信・情報サービス、エネルギ ー、金融、輸送、水保全、公共サービス、及び E ガバナンスに関する情報インフ ラ、並びに破壊された場合、機能しなくなった場合、またはデータが漏洩した場 合に国家安全保障、国家経済および公共の利益に深刻な打撃を与える恐れのその 他の重要インフラの保護を重視する。国務院は、重要情報インフラの範囲および セキュリティ保護策を伝達する。

第 38 条 重要情報インフラの運営事業者は、単独で、またはネットワークセキュリティサ ービスプロバイダーと協力して、サイバーセキュリティ及びその他の潜在的リス クを少なくとも年 1 回評価しなければならない。運営事業者は、重要情報インフ ラ保護を担当する関係当局に、評価結果及び改善策を報告しなければならない。

要点 3 ネットワーク運営事業者の責任と定義

第 10 条 ネットワークを構築し、運営する場合、またはネットワークを通じてサービスを 提供する場合には、ネットワーク運営を保護し、サイバーセキュリティインシデ ントに効果的に対処し、サイバー犯罪を防止するために必要な技術的対策および その他の対策を講じなければならない。これらの対策は同時に、法律の規定およ び国家規格に準じて、ネットワーク、ネットワークデータの完全性、気密性およ びアクセシビリティを維持しなければならない。

第 21 条 国は、サイバーセキュリティ保護のための階層化されたシステムを導入する。ネ

143 http://www.cnca.gov.cn/bsdt/ywzl/flyzcyj/zcfg/201707/t20170711_54707.shtml

71

ットワーク運営事業者は、干渉、破壊または無許可のアクセスからネットを保護 し、ネットワークデータの漏洩、改ざんまたは盗難を防止するため、所定のセキ ュリティ手順に従う必要がある。

第 22 条 ネットワーク製品またはサービスの提供者は、悪意のあるプログラムをセットア ップしてはならない。自社の製品またはサービスにセキュリティの欠陥、脆弱性 またはその他のリスクが発見された場合、ネットワークプロバイダーは直ちに是 正策を講じ、ユーザに通知し、問題を関係当局に報告しなければならない。

第 76 条 ネットワーク運営事業者は、ネットワークの所有者・管理者とネットワークサー ビスプロバイダーを指す。

要点 4 機密情報の保持（中国国内で取得・生成した個人情報と重要データの原則国外移転）

第 37 条 中国国内で重要情報インフラ運営事業者が収集および生成した個人情報ならびに 重要データは、国内で保管しなければならない。業務上の必要性により海外に転 送される情報とデータについては、中国のサイバー空間管理機関および国務院傘 下の関係部局が共同で定める評価基準に従って、セキュリティ評価を実施する。

その他の法律および行政規則の関連規定も適用される。

要点 5 セキュリティ製品の認証

第 23 条 重要なネットワーク機器および特殊なサイバーセキュリティ製品は、資格を持つ 機関の認証を受け、国家規格に準拠した場合に限り、販売または提供することが できる。中国のサイバー空間管理機関および国務院傘下の関係部局は、重要なネ ットワーク機器および特殊な製品の一覧を作成する。

第 35 条 国家安全保障に影響を及ぼす可能性のあるネットワーク製品・サービスを導入す る重要情報インフラ運営事業者は、国家安全保障審査に合格しなければならな い。

要点 6 法的責任と罰則

第 64 条 サイバー安全法の第 22 条第 3 項、または第 41 条、42 条および 43 条に違反した ネットワーク運営事業者あるいはネットワーク製品またはサービスの提供者は、

その行為を是正しなければならない。かかる事業者は、警告を受け、不法に得た 収入を没収され、不法に得た収入の 10 倍を上限とする罰金を科されるか、その いずれかを科される場合がある。重大な事件においては、関係部局が事業活動の 中止、ウェブサイトの閉鎖、ならびに事業証明または事業免許の取り消しを命じ る場合がある。

第 66 条 サイバー安全法第 37 条に違反したネットワーク運営事業者またはネットワーク 製品の提供者は、関係当局からその行為の是正を命じられる。当局は、警告を発 し、不法に得た収入を没収し、5 万元から 50 万元の罰金を科すことができる。当 局はまた、事業活動の中止、ウェブサイトの閉鎖、および事業証明または事業免 許の取り消しを行なうことができる。

72

上記のサイバー安全法に対して、米国は下記の通り異議を申し立てている。

【米国は中国サイバー安全法の執行停止を求む¹⁴⁴】

世界貿易機関（WTO）は、世界のサービス分野における取引が阻害されるとの理由で、中 国サイバー安全法の執行停止を求める米国の文書を発表した。この法律は中国で活動する 海外企業へ大きな影響を及ぼすもので、さらには現地企業と海外企業に対して安全検査と 彼らのデータの中国内での保管を義務づけている。

米国は、WTO のサービス理事会に対して、中国サイバー安全法が計画通り 2018 年末まで に完全に執行された場合、中国との国境を越えたサービスビジネスに大きな影響が生じる として討議を要求した。同法は、通常のビジネスで行われている情報の伝達を混乱させ、

妨げ、そして多くの場合禁止となる。米国は、中国の当局とすでにハイレベルの討議を行 なっており、懸念される事項が解決するまで執行を停止するよう求めている。WTO 加盟国が 取引に与える影響の大きさを認識するようにこの文書を提出した。

中国の WTO 代表である Zhang Xiangchen 氏は、WTO の貿易の保護主義に関するパネルに おいて、同法に対する批判を過少評価した。中国が保護主義の汚名を科せられることに対 して、保護主義の定義は明瞭でなく、WTO 加盟国はそれぞれが自国の法を制定する権利を有 する。そして、WTO の枠内でいずれの法が遵法で、いずれが違法か慎重であるべきと述べた。

【米国の法律事務所モリソン・フォスターの分析・評価¹⁴⁵】

米国の代表的な法律事務所であるモリソン・フォスター（Morrison Foerster）¹⁴⁶は、中 国サイバー安全法を次のように分析・評価している。

中国サイバー安全法は中国のサイバー空間の主権とセキュリティを確保するための包括 的な枠組み法である。法を運用するための重要な規則あるいはガイドラインは現在、中国 サイバー管理局において作成中である。ドラフトの一部がパブリックコメントのために明 らかにされているが、今後内容が確定されるに従い徐々に制定する計画である。中国で活 動する海外企業がどのように適用されるか、現時点では正確には不明であるが多くの懸念

144

https://www.reuters.com/article/us-usa-china-cyber-trade/u-s-asks-china-not-to-enforce-cyber-security-law-idUSKCN1C11D1

145 https://www.mofo.com/

146 https://www.mofo.com/

73

重要情報インフラスツラクチャーを扱うネットワーク運営事業者事業者には多くの義務 が課せられ、罰則対象となる。しかし、このネットワーク運営事業者の定義が広範囲で明 瞭でない。同法では、まず「情報を収集・保管・交換・処理するシステムコンピューター およびそのほかの情報端末ならびに関連する設備からなるシステム」を「ネットワーク」

と定め、これを所有する者、管理する者、提供する者すべてが「ネットワーク運営者」と 定義している。また、同法の附則では必ずしもインターネットに限定しておらず、情報の 行き来が幅ひろく含まれることとなる。米国でネットワーク運営者といった場合は、主に 通信事業者・無線通信事業者・インターネットサービス提供事業者を指すことが多いが、

中国サイバー安全法ではこれに加えて、「中国で IT ネットワークや情報システムを保有し、

運営するありとあらゆる組織・企業」が含まれることとなる。ネットワーク関連製品の製 造者、製品とサービスの提供者も含まれる。中国で事業展開する銀行、大企業、なども対 象となる可能性がある。

中国国内で取得・生成した個人情報と重要データの国外への移転は原則禁止され、移転 するには詳細な安全評価を受けて当局の認可を得なければならない。安全評価のガイドラ インドラフトによれば、下記に該当する情報は海外移転が認められない。

 政治的に危険

 経済的・技術的な安全に懸念

 国土、軍事、文化、社会、情報またはエコロジカルの安全に懸念

 資源または原子力施設の安全に懸念

また、海外から中国のコンピュータへのリモートアクセスについてもデータ移転と見な される可能性がある。いずれにしても、中国国内で活動する企業は、関連する規則・ガイ ドライン等の作成進捗状況を注意深く見守るとともに、詳細な内容を把握して適切に対応 する必要がある。

中国サイバー安全法が施行されて 6 ヵ月経たが、インターネットへの厳しい規制・管理 が次第に明らかになっている。中国国内では規制の実情は明らかにされないが、海外メデ ィアにより一部が報道されている。その一例は次の通りである。

【3 年間で 1000 万件閉鎖。SNS の個人アカウント。2017 年 12 月 25 日の日本経済新聞¹⁴⁷】

147 https://www.nikkei.com/article/DGXMZO25048610V21C17A2FF2000/