0
いいね!でマイページに保存して見返すことができます。
共有する
中国では2017年に「中国サイバーセキュリティ法」が制定されて以降、データや個人情報、サイバーセキュリティ関連の法令やガイドラインなどが次々と制定・改正され、2021年9月には「中国データセキュリティ法」、同年11月には「中国個人情報保護法」が施行されました。今回は施行から1年を経過した、この「中国データ3法(中国サイバーセキュリティ法、中国データセキュリティ法、中国個人情報保護法)」の内容と、それによる企業への影響について取り上げます。
中国データ3法とは
中国は、サイバーセキュリティを国家安全保障に組み込んでいます。中国サイバーセキュリティ法、中国データセキュリティ法、中国個人情報保護法の3つの法律(データ3法)の制定により、中国においてビジネスを展開する外国企業に対して新たなコンプライアンス義務を課すとしています。
データ3法のそれぞれの役割を整理すると、個人情報を対象とするのが中国個人情報保護法、ネットやデータ全般を規制対象とするのが中国サイバーセキュリティ法と中国データセキュリティ法になります。
そんなデータ3法は、習政権が2014年に打ち出した「総体国家安全観(総体的な国家安全保障観)」に基づいて制定されています。たとえば、中国データセキュリティ法の第1条には、その目的として「データ取り扱い活動を規範化し、データセキュリティを保障し、データの開発利用を促進し、個人、組織の合法的権益を保護し、国家の主権、安全および発展の利益を擁護する」ことを掲げており、国家安全保障に言及しています。
また、データ3法は国際的な動きに則った内容となっています。中国個人情報保護法は、EUの一般データ保護規則(GDPR : General Data Protection Regulation)や米カリフォルニア州消費者プライバシー法(CCPA : California Consumer Privacy Act)に準拠しているとされています。
さらに、中国サイバーセキュリティ法は、情報セキュリティの国際規格である「ISO-27000」や米国連邦政府におけるセキュリティ管理やプライバシー管理のガイドラインである「NIST SP800-53」に、中国データセキュリティ法はデータガバナンスの国際規格である「ISO-38505」や、データ管理の国際的な非営利団体であるDAMA(Data Management Association International)といったセキュリティフレームワークに準拠しているとされています。
この3法が揃ったことは、中国におけるデータセキュリティ管理の規範化、デジタル産業の発展促進にとって重要な意味を持ちます。ここからは、データ3法それぞれについて具体的な規制内容を見てきます。
データ3法(1):中国サイバーセキュリティ法
中国サイバーセキュリティ法は、中国がサイバーセキュリティを強化するために制定した法律です。2015年6月の全人代で草案が公開され、2016年11月の全人代常務委員会で可決され、2017年6月1日施行されています。
この法律は、国家安全保障のためのサイバーセキュリティ確保を目的に、中国域内のネットワーク運営者、重要インフラ施設運営者、インターネットサービス提供者などを対象として、サイバーセキュリティ等級保護の実施義務、権利義務の明確化、適切なネットワーク運営方法の確立、サイバーイノベーションの奨励、セキュリティリスクの識別およびコンプライアンスの遵守などを定めています。
データ3法(2):中国データセキュリティ法
中国データセキュリティ法は、データセキュリティにおけるリスクや脅威に焦点を当て、政府によるデータセキュリティの強化、データセキュリティの審査、リスク評価などを定めた法律です。2021年6月の全人代常務委員会で可決され、2021年9月1日施行されています。
同法は重要データの保護強化を要求しており、国家の安全や公的・私的利益などに対してデータの不正使用や不正取得が与える可能性がある影響を勘案し中国当局が策定する、データの階層分類を制定しています。
対象とするデータの定義も「紙面を含むすべての情報」としており、広範囲に規制しています。また、データの分類と等級分けに基づく、国家安全審査、データセキュリティ管理、レスポンス体制の構築、国外移転およびデータ取引などもその対象としています。
データ3法(3):中国個人情報保護法
中国個人情報保護法は、2021年8月の全人代常務委員会で可決され、2021年11月1日施行されています。
中国国内で個人情報を処理する活動に適用される法律ですが、中国国内に拠点を持たない外国企業であっても、中国国内の個人への製品、サービスの提供を目的とする場合や、中国国内の個人の行動を分析・評価する場合、法令に定めるその他の事情がある場合のいずれかにおいて、中国国内の個人情報を処理するときには、当該活動に対しても本法が適用されるとしています。
つまり、中国の国内企業だけではなく、中国ビジネスを営む海外企業にも適用される可能性があるという点と、中国国内で収集した個人情報を中国国外へ移転する場合に厳しい規制を受けるという点がポイントとなります。
本法は巨大プラットフォーマ―、ビッグデータによる差別などに対しても規制を設けています。
【次ページ】違反すると罰金?「中国データ3法」の多国籍企業への影響
関連タグ