「重要データ」や「個人情報」の中国からの越境移転には安全性評価が必要

中国は、電子商取引などデジタル経済の発展を、経済構造転換や生産性向上などの観点から重視し、奨励している。一方、デジタル経済で必須となるネットワーク上でのデータや個人情報の取り扱いなどに関しては、国家安全や個人情報保護の観点から「サイバーセキュリティー法（インターネット安全法）」およびその関連細則や標準などで規制されている。ただし、現時点で同法の関連法規や標準にはいまだ意見募集段階にとどまっているものも多く、未確定の部分が多い。

「重要データ」や「個人情報」の国外移転には制約が課される可能性

2017年6月1日に施行された「サイバーセキュリティー法」では、「公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要な産業および分野、ならびにひとたび機能の破壊、喪失またはデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラ」（以下、重要情報インフラ）の運営者に対し、中国国内で収集・発生した「個人情報」および「重要データ」（注）を、中国国内に保存することを義務付けており、業務の必要により国外に提供する必要がある場合は、規則に従って安全評価を行わなければならないとされている。

一方で、この規定の関連法規となる「個人情報と重要データ越境安全評価弁法（案）」が、国家安全法、サイバーセキュリティー法などを根拠にして、制定が検討されている。同弁法案では、重要情報インフラに限らず、ネットワークに関わる多くの事業者（全てのネットワーク運営者）に対し、中国国内で収集・発生した「個人情報」や「重要データ」の国外持ち出しについて規制することとされている。同弁法案は、現在のところ意見募集稿（2017年4月）段階だが、今後の関連法規の制定動向に注意が必要だ（2019年5月20日付地域・分析レポート参照）。

こうしたデータ移転に関する規制は、グローバルに事業を展開する外資系企業にとってビジネスの制約要因となる可能性があるほか、「個人情報」および「重要データ」の移転に関する評価の基準などは不明確な部分が多い。中国日本商会は「中国経済と日本企業2018年白書」の中で、サイバーセキュリティー法の細則や標準などの制定に当たり外資企業の意見を取り入れること、上記データの越境移転に関する判断が実務担当者でも容易にできるよう判断基準を明確化することなどを要望している。

業界や製品によってはソースコードの提供を求められる可能性も

サイバーセキュリティー法では、サイバーセキュリティーのレベル別保護制度を実施することとされており、この関連法規として2018年6月に「サイバーセキュリティー等級保護条例（案）」（意見募集稿）が示されている。同条例案によると、ネットワークの重要度により、セキュリティー評価の程度を5段階設け、段階に応じた対応を義務付けるとしている。同条例案は、2007年6月に公布されている「情報セキュリティー等級保護管理弁法」（Multi－Level Protection Scheme：MLPS）に代わるものだが、関連する国家標準とともにリニューアルされていくものとみられる。なお、2019年5月には国家標準「情報安全技術サイバーセキュリティー等級保護基本要求（GB／T 22239－2019、代替GB／T 22239－2008）」が公布されたが、同標準の実施日は2019年12月1日となっている。

また、ネットワークシステムの安全性の審査の際、特定の業界および製品において、その監督管理上の特殊性から、評価機関にソースコードの提供を要求される可能性がある（2019年5月20日付地域・分析レポート参照）。

（注）今後、関連法規で明確化される予定。

（小宮昇平）