中国政府が推進する新たなルールと重要情報インフラの保護

China sets out new rules to protect ‘critical information infrastructure’ as it bolsters data security push

2021/08/17 SCMP — 中国政府は、国内データの管理を強化するために、通信/エネルギー/輸送/金融/防衛の各分野における企業を、サイバー・セキュリティの観点から厳しく監視する特別な規則を定めた。火曜日に国務院が発表した、この新しい規則は、中国のサイバー・セキュリティ法に含まれていても、具体的な指針のない重要情報インフラの確保に関する、北京の考え方をより明確にしている。

つまり、重要なデータの安全性を確保するために、データ・ガバナンスの枠組みを構築しようとするものであり、企業が機密性の高い個人データを収集/使用する方法に制限を設ける一方で、経済的価値を引き出すために、機密性の低いデータの流通を促進するものでもある。

上海の Linklaters 法律事務所の弁護士である Alex Roberts は、「今回の新規則は、中国のトップが、国内のデジタル・ネットワークにおける最もセンシティブな部分の保護を、引き続き重視していくことを示している」と述べている。今回の新たなルールと 2017年のサイバー・セキュリティ法により、重要な情報インフラの運営者は、北京から特別な注意を受けることが判明した。重要な情報インフラ・システムの損失/損害は、国家の安全保障や、国民の生活、公共の利益を、著しく損なう可能性があるからだ。

先月のこと、中国のインターネット監視機関である Cyberspace Administration of China (CAC) が、中国のライド・ハイアリング大手 Didi Chuxing を対象にサイバー・セキュリティ調査を開始したとき、Didi が重要インフラの運営者として扱われており、法律および国家の安全保障の問題から審査を受けることになったと、多くのアナリストたちが主張した。しかし、他のアナリストは、Didi が消費者の重要なデータを、どのように収集/利用しているかが、調査の理由だと述べている。

新規則では、特定の業界の規制当局が、それぞれの重要事業者を認識するための詳細な指針を策定し、それに基づいて国務院に通知することになっている。そして、公安部門である警察が、主導的な立場で安全を確保することになる。また、重要な情報インフラ事業者を選定する際に、政府機関による考慮すべき点が指導され、遵守できなかった場合の責任や罰則についても指摘される。

サイバー・セキュリティに関する規則に違反した場合、最高で 1 million yuan (US$154,309) の罰金が科せられる可能性がある。2017年に CAC からドラフトが発表されたことを受けて、この新規則は長期間にわたり待たれていたが、すでに多くの企業が準備を始めていると、一部の弁護士は述べている。しかし、それぞれの企業は、自社が属するカテゴリーが不明なため、継続して待たされることになる。

この新規則は、サイバー・セキュリティ法が登場してからの、多国籍企業のトップ・マネジメントでの最大の疑問である、「当社は重要情報インフラ事業者なのか?」という問いに答えてはいない。上海 Shenlun 法律事務所の Xia Hailong 弁護士は、多くの大手インターネット企業が、重要情報インフラ事業者だと認定される可能性がある。その結果として、ユーザーデータの保護や、データ・セキュリティ、製品の調達などに関する厳しい要求に対応するために、大きな調整が必要になると述べている。

最近の中国政府における IT 関連法整備は、「中国政府が義務化するゼロデイ脆弱性情報の報告とは?」や、「中国のビッグテックが直面する新たなデータ保護法とは?」で明らかなように、各分野でハイペースで進んでいるようです。ただ、この政府が、どこまで法に則り、どのように公平性を示すのかは、いまのところ不明ですよね。

%d bloggers like this: