中国における最新のデータコンプライアンス

中国では近年データコンプライアンスに関する法律が次々と施行されており、サイバーセキュリティ法、データセキュリティ法、個人情報保護法の概要に加えて、今後の対応における留意点について解説しています。

要点

• 中国では2017年にサイバーセキュリティ法が定められており、等級保護2.0の分類にしたがってセキュリティ保護に取り組むことが求められる。
• 2021年にデータセキュリティや個人情報保護に関する法律が施行され、個人情報を含むデータ管理にいっそう注意することが必要
• 今後もサイバーセキュリティやデータセキュリティに関する規定が施行されることが予想されるため、法務部門やIT部門とも協議しながら全社横断的に対応することが重要

Ⅰ はじめに

中国では2017年に「中国サイバーセキュリティ法」（以下、サイバーセキュリティ法）が、21年に「中国データセキュリティ法」（以下、データセキュリティ法）および「中国個人情報保護法」（以下、個人情報保護法）が施行され、近年において法整備が急速に進められています。

関連する細則が完全に整備されていないものの、今後多くの現地企業のコンプライアンスに影響を及ぼすことが予想されることから、本稿では、中国におけるデータコンプライアンス関連法律の概要と留意点について解説します。

なお、文中の意見にわたる部分は筆者の私見であることをあらかじめ申し添えます。

Ⅱ 中国におけるデータコンプライアンス関連法律の概要

1. サイバーセキュリティ法

サイバーセキュリティ法はデータコンプライアンスに関連する法律の中で最初に施行されたものであり、ネットワーク運営者を適用対象としています。ここで、ネットワークとは、コンピューター、その他の情報端末および関連機器により構成され、一定のルールに従った情報の収集・保存・伝送・交換・処理を行うシステムを指し、実質的にほとんど全ての企業が対象になると考えられます。

サイバーセキュリティ法では越境データの評価やデータの国内保存、個人情報保護など広範囲にわたって定められましたが、21年にデータセキュリティ法および個人情報保護法が施行されたため、データや個人情報の取り扱いは後述することとし、以下ではセキュリティ保護の等級付けである「等級保護2.0」について説明します。

＜表1＞の通り、等級保護2.0では情報ネットワークや工業制御システムなどの企業内のシステムを、侵害される情報主体と情報主体に対する侵害の程度に応じて5つの等級に分類します。

通常の日系中国企業が有するシステムは第二級に分類されることが多いと考えられますが、業種などによりそれ以上の等級に該当することも考えられるため、注意が必要です。

各企業では主体的に等級評価を実施する必要があり、第三級以上のシステムは、年1回以上の評価の実施が求められています。

2. データセキュリティ法

データセキュリティ法は21年に施行され、「データ」に焦点が当てられています。対象となるデータは、電子データのみならず、紙などの媒体記録も含まれます。また、データは国家核心データ、重要データ、一般データの3つの区分に分けられます。

一方で、当該法律では具体的なデータの分類方法について定めておらず、関連する細則に委ねています。例えば、自動車業界に関連して公表された細則では、重要なデータを＜表2＞の通り定めています。

重要なデータは中国国内で保存される必要があり、国外に提供する必要がある場合は、国家当局が実施する安全評価に合格しなければならないため、重要なデータを扱う企業は注意が必要です。

3. 個人情報保護法

個人情報保護法は21年に施行され、日本の個人情報保護法や欧州連合（EU）のGDPR（General Data Protection Regulation）に類似した法律であり、それまではさまざまな法律で部分的に定められていた個人情報について、初めて体系的に規定された法律となります。

個人情報とは、電子的またはその他の方法で記録された、特定のまたは識別可能な自然人に関するあらゆる種類の情報であり、匿名化された情報を除いたものを指します。

この点、匿名化されることにより個人情報の定義から外れることとなりますが、ここでの匿名化とは個人を全く特定することができないレベルでの処理であり、一部の情報をマスキングするなどの方法では、不十分な場合があると考えられます。

個人情報には基本情報から身分、生体認証、教育・仕事、財産、通信、健康など多岐にわたりますが、漏洩えいしたり不正に使用されたりすると、容易に自然人としての人格尊厳を侵害したり、人身や財産の安全を脅かしたりする恐れのある個人情報を「センシティブな個人情報」として、特定の目的と十分な必要性があり、かつ厳格な保護措置が取られた場合に限り処理することができるとされています。

個人情報を扱う際には原則として個人の同意が必要です。また、個人情報を扱う前に、明確かつ理解できるように個人に個人情報取扱者の名称や連絡先、個人情報の処理目的などについて告知を行う必要があります。

さらには、個人情報取扱者が中国国外へ個人情報を提供する場合、国外の移転先の名称、連絡先、目的、方法などを個人に告知し、個人の個別の同意を取得する必要があります。その上で、専門機関による個人情報保護の認定を受けるなどの一定の要件を満たす必要があります。

Ⅲ 中国における日系企業の取り組み

データコンプライアンスに関する法律が整備され、各企業では今後いっそうのデータ管理が重要になると考えられます。

そのためには、会社内におけるデータ管理の規程や制度作成、各種法令に対応したデータ管理責任者の配置などの組織作り、従業員の教育研修、適切なデータ分類や保管などの実務運用など、全社的に対応を図る必要があると考えられます。

また、法律の解釈のみならず、データ管理に当たってはITを含む情報処理を適切に把握する必要があるため、組織横断的な対応が必要になるとともに、日本親会社の法務部門やIT部門とも協議しながら進めることが有用と考えられます。

Ⅳ おわりに

22年9月にはデータ越境安全評価弁法が施行され、重要なデータを中国外に提供する場合など、一定の手続きを行うことがより詳細に定められました。このように中国におけるデータコンプライアンス環境は年々制度化が進んでおり、今後も注視が必要な分野と考えられます。