• 会員限定
  • 2022/11/09 掲載

中国データ3法とは? 多国籍企業は無視できない「中国のデータセキュリティ関連法」

連載:第4次産業革命のビジネス実務論

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
中国では2017年に「中国サイバーセキュリティ法」が制定されて以降、データや個人情報、サイバーセキュリティ関連の法令やガイドラインなどが次々と制定・改正され、2021年9月には「中国データセキュリティ法」、同年11月には「中国個人情報保護法」が施行されました。今回は施行から1年を経過した、この「中国データ3法(中国サイバーセキュリティ法、中国データセキュリティ法、中国個人情報保護法)」の内容と、それによる企業への影響について取り上げます。

執筆:東芝 福本 勲

執筆:東芝 福本 勲

東芝 デジタルイノベーションテクノロジーセンター チーフエバンジェリスト
アルファコンパス 代表
中小企業診断士、PMP(Project Management Professional)
1990年3月 早稲田大学大学院修士課程(機械工学)修了。1990年に東芝に入社後、製造業向けSCM、ERP、CRM、インダストリアルIoTなどのソリューション事業立ち上げやマーケティングに携わり、現在はインダストリアルIoT、デジタル事業の企画・マーケティング・エバンジェリスト活動などを担うとともに、オウンドメディア「DiGiTAL CONVENTiON」の編集長をつとめる。主な著書に『デジタル・プラットフォーム解体新書』(共著:近代科学社)、『デジタルファースト・ソサエティ』(共著:日刊工業新聞社)、『製造業DX - EU/ドイツに学ぶ最新デジタル戦略』(近代科学社Digital)がある。その他Webコラムなどの執筆や講演など多数。また、企業のデジタル化(DX)の支援/推進を行うコアコンセプト・テクノロジーなどのアドバイザーをつとめている。

photo
中国が制定したデータセキュリティ関連法である「中国データ3法」とは?
(Photo/Getty Images)


中国データ3法とは

 中国は、サイバーセキュリティを国家安全保障に組み込んでいます。中国サイバーセキュリティ法、中国データセキュリティ法、中国個人情報保護法の3つの法律(データ3法)の制定により、中国においてビジネスを展開する外国企業に対して新たなコンプライアンス義務を課すとしています。

 データ3法のそれぞれの役割を整理すると、個人情報を対象とするのが中国個人情報保護法、ネットやデータ全般を規制対象とするのが中国サイバーセキュリティ法と中国データセキュリティ法になります。

 そんなデータ3法は、習政権が2014年に打ち出した「総体国家安全観(総体的な国家安全保障観)」に基づいて制定されています。たとえば、中国データセキュリティ法の第1条には、その目的として「データ取り扱い活動を規範化し、データセキュリティを保障し、データの開発利用を促進し、個人、組織の合法的権益を保護し、国家の主権、安全および発展の利益を擁護する」ことを掲げており、国家安全保障に言及しています。

 また、データ3法は国際的な動きに則った内容となっています。中国個人情報保護法は、EUの一般データ保護規則(GDPR : General Data Protection Regulation)や米カリフォルニア州消費者プライバシー法(CCPA : California Consumer Privacy Act)に準拠しているとされています。

 さらに、中国サイバーセキュリティ法は、情報セキュリティの国際規格である「ISO-27000」や米国連邦政府におけるセキュリティ管理やプライバシー管理のガイドラインである「NIST SP800-53」に、中国データセキュリティ法はデータガバナンスの国際規格である「ISO-38505」や、データ管理の国際的な非営利団体であるDAMA(Data Management Association International)といったセキュリティフレームワークに準拠しているとされています。

 この3法が揃ったことは、中国におけるデータセキュリティ管理の規範化、デジタル産業の発展促進にとって重要な意味を持ちます。ここからは、データ3法それぞれについて具体的な規制内容を見てきます。

画像
「サイバーセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、それぞれの目的、影響について解説する
(Photo/Getty Images)

データ3法(1):中国サイバーセキュリティ法

 中国サイバーセキュリティ法は、中国がサイバーセキュリティを強化するために制定した法律です。2015年6月の全人代で草案が公開され、2016年11月の全人代常務委員会で可決され、2017年6月1日施行されています。

 この法律は、国家安全保障のためのサイバーセキュリティ確保を目的に、中国域内のネットワーク運営者、重要インフラ施設運営者、インターネットサービス提供者などを対象として、サイバーセキュリティ等級保護の実施義務、権利義務の明確化、適切なネットワーク運営方法の確立、サイバーイノベーションの奨励、セキュリティリスクの識別およびコンプライアンスの遵守などを定めています。

データ3法(2):中国データセキュリティ法

 中国データセキュリティ法は、データセキュリティにおけるリスクや脅威に焦点を当て、政府によるデータセキュリティの強化、データセキュリティの審査、リスク評価などを定めた法律です。2021年6月の全人代常務委員会で可決され、2021年9月1日施行されています。

 同法は重要データの保護強化を要求しており、国家の安全や公的・私的利益などに対してデータの不正使用や不正取得が与える可能性がある影響を勘案し中国当局が策定する、データの階層分類を制定しています。

 対象とするデータの定義も「紙面を含むすべての情報」としており、広範囲に規制しています。また、データの分類と等級分けに基づく、国家安全審査、データセキュリティ管理、レスポンス体制の構築、国外移転およびデータ取引などもその対象としています。

データ3法(3):中国個人情報保護法

 中国個人情報保護法は、2021年8月の全人代常務委員会で可決され、2021年11月1日施行されています。

 中国国内で個人情報を処理する活動に適用される法律ですが、中国国内に拠点を持たない外国企業であっても、中国国内の個人への製品、サービスの提供を目的とする場合や、中国国内の個人の行動を分析・評価する場合、法令に定めるその他の事情がある場合のいずれかにおいて、中国国内の個人情報を処理するときには、当該活動に対しても本法が適用されるとしています。

 つまり、中国の国内企業だけではなく、中国ビジネスを営む海外企業にも適用される可能性があるという点と、中国国内で収集した個人情報を中国国外へ移転する場合に厳しい規制を受けるという点がポイントとなります。

 本法は巨大プラットフォーマ―、ビッグデータによる差別などに対しても規制を設けています。

【次ページ】違反すると罰金?「中国データ3法」の多国籍企業への影響

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます