Special Issue
中国サイバーセキュリティ法への対応サポートを強化 内部評価などの代行サポートサービス体制を整備へ
2017/12/21 09:00
週刊BCN 2018年02月26日vol.1716掲載
IIJ Global Solutions China Inc./艾杰(上海)通信技术有限公司
2017年6月1日に施行された「中華人民共和国網絡安全法」(以下、サイバーセキュリティ法)をめぐって、中国で事業活動する日系企業に少なからず不安が広がっている。外資企業・内資企業を問わず適用される同法はネットワーク分野の安全保障を目的として、ネット犯罪の防止や個人情報の保護を謳う。従来以上にインターネット統制が強化されるが、日系企業はどのように備えて対処すればよいのか。IIJ Global Solutions Chinaの李天一副総経理は、「重要なのはガイドラインに沿った体制づくり」だと言い、過剰反応せず、適切な計画とその内部評価の必要性を進言する。
昨年からのパブリックコメントに始まり、今年6月の施行、そしてその後も関連条例の公開が続くサイバーセキュリティ法。外資企業も適用範囲に含まれるが、依然としてその内容には広義に解釈できる表現も多く、具体的な対処に頭を抱える日系企業も少なくない。しかし、IIJ Global Solutions Chinaの李副総経理は、「定義が曖昧な部分もあり、それが不安を助長しているようだが、一般的な民間企業による業務データや個人情報の取り扱いに関しては、まず正式発表されている評価方法とガイドラインに準じて計画を策定し、内部評価することが先決だ」と説明し、過度な危機感は不要だと助言する。
法令の対象範囲は三つに分類される。①重要データインフラ運営者(関鍵信息基礎設施的運営者)、②ネットワーク運営者(網絡運営者)、③ネットワーク製品またはサービス提供者(網絡産品或服務提供者)だ。①は通信キャリアやインターネットサービスプロバイダ、③はネットワークのハードウェアやデバイス製品の販売・サービスを提供する業態の企業を主に指す。ここで留意したいのが、あらゆるコンピュータネットワークの所有者や管理者などが対象の②のネットワーク運営者だ。業務において何らかの形でネットワークを運用する一般的な企業が含まれ、中国に進出する日系企業もこれに該当する。
そして、今回のサイバーセキュリティ法が義務づける一つに、中国国内で発生した個人情報や業務データの国内保存がある。つまり、中国で取得したデータは国内のサーバーで保管する必要があるということだ。加えて、それらを中国国外に持ち出す場合には、データの越境移転に関する計画策定と内部のセキュリティ評価を実施する。「サイバーセキュリティ法はデータの国外持ち出しを禁止するものでも許可制でもありません。企業の情報セキュリティの水準を高めるために、データを持ち出す行為に対して安全性を担保する体制づくりとその継続的な運用を求めるものです」(李副総経理)。
そこでIIJ Global Solutions Chinaは、中国に進出する日系企業に対してサイバーセキュリティ法に対応する個人情報やデータの運用ポリシー策定を支援する「ビジネスリスクマネジメントサービス」の提供を開始する。例えば、データの越境移転においては、現状把握や潜在リスクのアセスメント、さらに計画の策定からガイドラインに沿った内部評価、また必要に応じて通信監理局やユーザーが属する各業界の関係省庁への再確認などを代行する。そのままでは持ち出すことが難しい場合はデータ・マスキングなどの対処もサポートする。「コスト抑制やITガバナンスの観点から、日本本社が構築した基幹システムや業務アプリケーションを利用する中国子会社も多く、中国で取得したデータの持ち出しに該当するケースがある。また、ビッグデータの分析などを目的に日本へ顧客データを送る例もある」と李副総経理は日系企業の留意すべき業務リスクを挙げる。
今後、IIJ Global Solutions Chinaでは、同法への対応を支援するコンサルティングにも注力しつつ、従来のクラウドサービスやセキュリティソリューション、運用サービスとともに、日系企業の情報セキュリティレベルを底上げするITインフラの構築をサポートする構えだ。
2017年6月1日に施行された「中華人民共和国網絡安全法」(以下、サイバーセキュリティ法)をめぐって、中国で事業活動する日系企業に少なからず不安が広がっている。外資企業・内資企業を問わず適用される同法はネットワーク分野の安全保障を目的として、ネット犯罪の防止や個人情報の保護を謳う。従来以上にインターネット統制が強化されるが、日系企業はどのように備えて対処すればよいのか。IIJ Global Solutions Chinaの李天一副総経理は、「重要なのはガイドラインに沿った体制づくり」だと言い、過剰反応せず、適切な計画とその内部評価の必要性を進言する。
ガイドラインに準じた計画 体制づくりと継続運用が重要
李 天一
副総経理
技術統括部部長
法令の対象範囲は三つに分類される。①重要データインフラ運営者(関鍵信息基礎設施的運営者)、②ネットワーク運営者(網絡運営者)、③ネットワーク製品またはサービス提供者(網絡産品或服務提供者)だ。①は通信キャリアやインターネットサービスプロバイダ、③はネットワークのハードウェアやデバイス製品の販売・サービスを提供する業態の企業を主に指す。ここで留意したいのが、あらゆるコンピュータネットワークの所有者や管理者などが対象の②のネットワーク運営者だ。業務において何らかの形でネットワークを運用する一般的な企業が含まれ、中国に進出する日系企業もこれに該当する。
そして、今回のサイバーセキュリティ法が義務づける一つに、中国国内で発生した個人情報や業務データの国内保存がある。つまり、中国で取得したデータは国内のサーバーで保管する必要があるということだ。加えて、それらを中国国外に持ち出す場合には、データの越境移転に関する計画策定と内部のセキュリティ評価を実施する。「サイバーセキュリティ法はデータの国外持ち出しを禁止するものでも許可制でもありません。企業の情報セキュリティの水準を高めるために、データを持ち出す行為に対して安全性を担保する体制づくりとその継続的な運用を求めるものです」(李副総経理)。
各アセスメントを代行する 法令対応のサポート体制を強化へ
とはいえ、自社で内部評価しようにも、そのプロセスや方法がわからない日系企業は多い。日本本社の経営企画部門や法務部門は気を揉むが、日本からはもとより、中国現地でも関係省庁へ問い合わせるパスをもたないところがほとんどだ。だが、その責務に反して十分な対策を講じず、万が一にもデータの持ち出しが発覚した場合は罰則が設けられている。企業では5万元以上50万元以下の罰金、または営業停止、最悪のケースは事業ライセンスや営業許可の剥奪もある。そこでIIJ Global Solutions Chinaは、中国に進出する日系企業に対してサイバーセキュリティ法に対応する個人情報やデータの運用ポリシー策定を支援する「ビジネスリスクマネジメントサービス」の提供を開始する。例えば、データの越境移転においては、現状把握や潜在リスクのアセスメント、さらに計画の策定からガイドラインに沿った内部評価、また必要に応じて通信監理局やユーザーが属する各業界の関係省庁への再確認などを代行する。そのままでは持ち出すことが難しい場合はデータ・マスキングなどの対処もサポートする。「コスト抑制やITガバナンスの観点から、日本本社が構築した基幹システムや業務アプリケーションを利用する中国子会社も多く、中国で取得したデータの持ち出しに該当するケースがある。また、ビッグデータの分析などを目的に日本へ顧客データを送る例もある」と李副総経理は日系企業の留意すべき業務リスクを挙げる。
今後、IIJ Global Solutions Chinaでは、同法への対応を支援するコンサルティングにも注力しつつ、従来のクラウドサービスやセキュリティソリューション、運用サービスとともに、日系企業の情報セキュリティレベルを底上げするITインフラの構築をサポートする構えだ。
- 1
