安全保護義務(等級保護)

｢ネットワーク安全法｣21 条には、ネット運営者はネットワーク等級保護制度の要求に 従って安全保護義務を履行すると規定されている。なお、｢ネットワーク安全法｣の公布当 時、当該規定に応じるネットワーク等級保護制度に関する明確な規定がない一方で、2018 年6月27日に｢ネットワーク安全等級保護条例(意見募集稿)｣(以下｢等級保護条例｣という。) が発表され、まだ正式には公布されていないものの、等級保護条例及び関連国家標準²³¹に

231 中国の法令の大枠の分類としては、(1)憲法、(2)全国人民代表大会及びその常務委員会にて制定され る法律、(3)国務院にて制定される行政法規、(4)地方の人民代表大会及びその常務委員会にて制定さ れる地方性法規、(5)国務院の各部門、地方の人民政府にて制定される規章(一般的には、国務院の各 部門にて制定される規章は｢部門規章｣と呼ばれ、地方の人民政府にて制定される規章は｢地方性規 章｣と呼ばれる)が存在する。これらの法令の優先関係は、先に記載したものが後に記載したものに 優先するという関係にある。

59

よって、ネットワーク安全等級保護制度の構成等の予想ができるようになった。以下にお いて、ネットワーク安全等級保護制度に関する内容を紹介する。

(1) ネットワーク安全等級保護とは

ネットワーク安全等級保護とは、国家安全、経済及び社会生活に対する重要性等によっ てネットワークを5つの安全保護等級に区分して保護かつ監督管理を行うことである。

ア 適用範囲

｢等級保護条例｣によれば、中国国内におけるネットワーク²³²の建設、運営、メンテナン ス及び使用について、ネットワーク安全等級制度が適用される。

新しい技術及び新応用(クラウドコンピューティング、ビッグデータ、人工知能、IoT、

産業用システム及び移動インターネット等)がもたらすリスクについても安全等級保護制度 に基づいた措置を執ることが要求されている。

ネットワーク運営者は、ネットワーク安全等級の区分を行い、かつ、届出をすること、

定期的な自己評価・自己検査、適切な管理･技術措置を講じ、ネットワーク安全を保障す ることが要求されている。

イ 監督管理部門

ネットワーク安全及び情報化管理機構が統一的にネットワーク安全等級保護を計画かつ 指導し、その他公安部門、秘密保持管理部門、暗号管理部門等及び県レベル以上の人民政 府、業界管理部門が各自の職権範囲内においてネットワーク等級保護を管理する。

＜図表6 ネットワーク安全等級保護の監督官庁及び職責＞

監督官庁 職責

中央ネットワーク安全及び情報化委員 会

ネットワーク安全等級保護の統一的な指導

国家インターネット情報弁公室 ネットワーク安全等級保護の統一的な計画及び 管理

また、中国の標準化法2条2項、3項によれば、国務院や関連主管部門等は、国家標準、業界標 準、地方標準、団体標準及び企業標準を制定することができる。国家標準には、強制性標準(GB)と 推薦性標準(GB/T)が含まれ、前者には刑罰等の強制力があるが、後者には強制力はなく、標準に従 うことを推奨するに留まる。

232 上記第一2(1)(｢ネットワークとは｣)を参照されたい。

60 国務院の公安部門及び関連部門(国家

秘密保持管理部門、国家暗号管理部門 等)

ネットワーク安全等級保護の各関連分野を主管 する

県レベル以上の地方人民政府の関連部 門

ネットワーク安全等級保護の実行

業界主管部門 業界内のネットワーク安全等級保護の統制、指 導

ウ 安全保護等級について

｢等級保護条例｣には、ネットワークについて、国家安全、経済発展、社会生活における 重要程度及び安全が破壊された場合の影響ごとに等級の区分けが定義されている。ネット ワーク運営者には、それぞれの運営するネットワークの等級に応じた安全保護義務が定め られている。具体的には、次の表のとおりである²³³。

＜図表7 ネットワークの等級に応じた安全保護義務＞

ネットワーク安全保護等級 破壊された場合の関連公民、

法人その他組織の合法的な 利益に対する損害程度

破壊された場合の、国家安 全、社会秩序と公共利益に 対する損害程度

ネットワーク の類型

第1級 損害が発生 社会秩序と公共の利益及び国 家安全には危害は無い

一 般 ネ ッ ト ワーク 第2級 厳重な損害が発生 社会秩序と公共の利益に一般

的な損害が生じるが、国家安

233 等級保護条例15条 国家安全、経済発展、社会生活における重要程度、及び、その安全が破壊さ れ、功能を喪失し、又はデータが改竄、漏洩、紛失、破損された場合における国家安全、社会秩 序、公共利益及びに関連公民、法人その他組織の合法的な利益に対する損害程度ごとに、ネット ワークを5つの安全等級で区分する。

第1級 破壊された場合に、関連公民、法人その他組織の合法的な利益を損なうが、国家の安 全、社会秩序、公共の利益に影響のない一般的ネットワーク。

第2級 破壊された場合に、関連公民、法人その他組織の合法的な利益を厳重に損ない、又は社 会秩序と公共の利益を損なうが、国家の安全に影響のない一般的ネットワーク。

第3級 破壊された場合に、関連公民、法人その他組織の合法的な利益は著しく損なわないが、

社会秩序と公共の利益を厳重に損ない、又は国家の安全に損害をもたらす重要なネット ワーク。

第4級 破壊された場合に、社会秩序と公共の利益を著しく損ない、又は国家の安全に厳重な損 害をもたらす特別重要なネットワーク。

第5級 破壊された場合に、国家の安全に著しい損害をもたらす極めて重要なネットワーク。

61

全には危害は無い

第3級 特別に厳重な損害が発生 社会秩序と公共の利益に厳重 な損害が生じ、又は国家安全 には一般的な損害が生じる

重 要 ネ ッ ト ワーク

第4級 ― 社会秩序と公共の利益に特別 に厳重な損害が生じ、又は国 家安全等にも厳重な損害が生 じる

特 別 重 要 な ネットワーク

第5級 ― 国家安全に特別に厳重な損害 が生じる

極めて重要な ネットワーク

(2) ネットワーク運営者の安全等級保護義務

ア ネットワーク運営者の主な義務

｢等級保護条例｣によれば、ネットワーク運営者は、ネットワークの安全等級ごとに、以 下の安全保護義務を履行するものとされる。

＜図表8 ネットワーク運営者の主な義務＞

義務 主な義務内容

全てのネットワー ク運営者

一般安全保護義務 (20条)

インターネット安全責任者の選任及びイン ターネット安全保護業務の責任制度・責任 追及制度の実施等²³⁴

234 等級保護条例20条によれば、一般保護義務は以下を含むものである。

① インターネット安全責任者の選任及びインターネット安全保護業務の責任制度・責任追及制度の実 施

② 安全管理及び技術保護制度、人員管理、教育研修、システムセキュリティの構築、運用維持制度の 確立及び実施

③ 機関室、設備、媒体、インターネットの安全管理制度の実施並びに操作規範及び業務フローの制定

④ 身分識別、悪意あるプログラミングコードの伝播防止、ハッキング攻撃の防止の管理及び技術措置 の実施

⑤ インターネット運用状態、安全事象、違法犯罪活動を監視・記録するための管理及び技術措置を実 施し、規定に基づいて6か月間以上のネットワーク違法犯罪の関係ネットワークログを記録

⑥ データの分類、重要データのバックアップ、パスワード追加等の措置の実施

⑦ 個人情報の法に基づいた収集・使用・処理及び個人情報保護措置を実施し、個人情報の漏えい・毀 損・改竄・窃取・遺失・濫用を防止する。

62 自己検査義務

(25条)

ネットワーク運営者が自ら毎年ネットワー ク安全等級制度の要求に関する実行状況及 びネットワークの安全状況について検査す る(一回以上)。

デ ー タ 及 び 情 報 安 全 保護

(31条)

ネットワーク運営者には重要データ及び個 人情報安全保護制度を構築する義務、技術 措置を取って重要データの安全性、秘密性 を保障する義務、合理的範囲内に個人情報 を収集・使用・処理する義務がある。

新技術のリスク管理 (34条)

クラウド計算、ビッグデータ、AI 等の新 技術を利用する場合、その安全リスクをコ ントロールし、関連する潜在的危険を除去 すること。

第三級以上のネッ トワーク運営者

特殊安全保護義務 (21条)

ネットワーク安全管理機構の設立、ネット ワーク安全に関する全体計画及び保護方案 の策定、ネットワーク安全責任者及び担当 者の管理等。

等級測定・評価 (23条)

年一度のネットワーク安全等級テストを行 い、その結果を公安部門(届出先)に報告す る。

製 品 ・ サ ー ビ ス の 購 買、使用の安全要求 (28条)

国家基準及び関連規定の要求に従ってネッ トワーク製品及びサービスを購買・使用す る。

技 術 メ ン テ ナ ン ス の 要求

(29条)

原則、中国国内において技術メンテナンス を行う。中国国外で技術メンテナンスを行 う必要がある場合には、ネットワーク安全 評価を行い、かつ、リスク管理措置を取る 必要がある。

モ ニ タ リ ン グ ・ 早 期 警戒及び情報通報 (30条)

ネットワーク安全のモニタリング・早期警 戒及び(監督官庁への)情報通報制度を構築 する必要がある。

⑧ 違法な情報の発見、即時切断、削除等の措置の実施、及び、違法情報の大量伝播・違法犯罪証拠の 滅失等を防止するための措置の実施

⑨ インターネットの届出及びユーザーの身分真実性確認等の責任の実行

⑩ インターネット上で発生した事件について24時間以内に所属する管轄地の公安機関に報告。国家秘 密が漏えいした場合は、同時に管轄地の秘密保持行政管理部門に報告。