【メール相談】サイバーセキュリティ法への対応について

サイバーセキュリティ法への対応について

Q:

【背景】
中国IT関連企業との面談で、サイバーセキュリティ法の話題が出ました。

サイバーセキュリティ法は2017年6月に施行されていますが、金融・医療・軍事関連企業には中国政府による調査が始まっているとの説明がありました。

2017年以降も改定を重ね、現在の規定は多岐に渡っており、重要情報の越境転送禁止以外にインターネットアクセス記録やサーバーのシステムログの保存期間も規定されています。未成年の個人情報転送禁止は施行済み、今後は成人も対象になる見込みです。


【懸念・確認したい事項】
*中国販社のノートPCは本社管理だが、今後は中国で管理が必要?
*CRM(ibc等)で海外拠点と共有する情報の限定が必要(客先の個人名はNG)?
*展示会で集めた名刺情報は個人情報のため本社との共有はNG?
*データ管理のためには本社情報システムではなく中国にサーバーが必要?


【お願いしたい内容】
■欧州のGDPRはグループ会社内であれば越境転送もOKとの救済措置もあるようですが、中国はどこまで厳格に実施するかは不明です。

そこで、中国各社ならびに、弊社グループとして、対策すべきは何かの相談をさせていただきたい。

 

A:

ご質問いただいたサイバーセキュリティ法に関するご質問ついて、コメントさせていただきます。

 

●背景
中国IT関連企業との面談で、サイバーセキュリティ法の話題が出ました。

サイバーセキュリティ法は2017年6月に施行されていますが、金融・医療・軍事関連企業には中国政府による調査が始まっているとの説明がありました。2017年以降も改定を重ね、現在の規定は多岐に渡っており、重要情報の越境転送禁止以外にインターネットアクセス記録やサーバーのシステムログの保存期間も規定されています。

未成年の個人情報転送禁止は施行済み、今後は成人も対象になる見込みです。

→「重要情報の越境転送禁止」について、中国の《網絡安全法》第31、35、37条で以下のように規定しています。

・国は、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービス等の重要業界及び分野や、一旦破壊若しくは機能の喪失又はデータの漏洩に遭遇すると、国の安全、国民の経済・生活及び公共の利益に重大な危害を及ぼす恐れのある重要な情報インフラについて、重点的な保護を実施する。

・これら重要情報のインフラは中国国内で保存しなければならない、且つ国外にこのような情報を発送するときに一定の制限を設けます。ただ、普通のビジネス情報、企業/個人情報等は、この限りではない。

また、「インターネットアクセス記録やサーバーのシステムログの保存期間」について、《網絡安全法》第21条で以下のように規定しています。

・ネットワークプロバイダは、ネットワークの運行状態及びネットワークの安全にかかる事件のモニタリング及び記録にかかる技術措置を講じ、なお且つ規定に従い関連するネットワークのログを少なくとも6か月間保存する。

・この規定はネットワークプロバイダ、即ちネットワークの所有者、管理者およびプロバイダに対する要求であり、一般ネットユーザーによるアクセス記録等の情報保存を求めているわけではない。

以上を踏まえ、いただいたご質問についてコメントさせていただきます。

 

●ご質問①
中国販社のノートPCは本社管理だが、今後は中国で管理が必要?

→上記の背景により、「国の安全、国民の経済・生活及び公共の利益に重大な危害を及ぼす恐れのある重要な情報インフラ」に触れない限り、中国販社のノートPCは中国で管理しても本社で管理しても特に問題ありません。

中国側の規定を重視するのであれば、中国側で管理するのが無難かもしれません。

 

●ご質問②
CRM(ibc等)で海外拠点と共有する情報の限定が必要(客先の個人名NG)?

→上述の通り、《網絡安全法》では、国の安全、国民の経済・生活及び公共の利益に関わる情報を国外に発送する「重要な情報インフラ」に対して一定の制限をかけましたが、一般顧客個人の氏名情報をロームグループ内の海外拠点と共有することに特別な制限はかけられません。

注意する点として、顧客個人情報および下記のご質問における名刺情報の秘密保全はしっかり行い、許可を得ずに第三者に漏洩してはなりません。

 

●ご質問③
展示会で集めた名刺情報は個人情報のため本社との共有はNG?

→個人情報とは単独で、またはその他情報と合わせて特定の自然人を識別できる各種情報のことを指すため、名刺は確かに個人情報の類に入ります。

《網絡安全法》第41条および《民法典(草案)》第1038条では「個人情報を利用する目的、方法と範囲は提供者の同意を得なければならず、同意を得ずに他人に不法に個人情報を提供してはならない」としています。

この「他人」および「不法提供」について法律では具体的な解釈がないため、会社がその従業員の集めた名刺をグループ企業内で共有することが「他人に不法に提供する」ことに当てはまるかどうかは不明です。

弊社は、展示会で集めた名刺は、原則として合理的な範囲内で本社と共有することができると考えます。リスク低減のためには、名刺を集める際に、本社と共有することについて当事者の承認を得るといった方法があります。

 

●ご質問④
データ管理のためには本社情報システムではなく中国にサーバーが必要?

→上記で説明したように、《網絡安全法》では、国の安全、国民の経済・生活及び公共の利益に関わる「重要な情報インフラ」の場合、データを中国で保存しなければならないと規定していますが、企業の生産・経営において生成・収集される一般ビジネス情報等のデータは本社の情報システムで管理を行うことが可能であり、中国にサーバーを設置して管理を行う必要はありません。

 

●お願いしたい内容
欧州のGDPRはグループ会社内であれば越境転送もOKとの救済措置もあるようですが、中国はどこまで厳格に実施するかは不明です。そこで、中国各社ならびに、弊社グループとして、対策すべきは何かの相談をさせていただきたい。

→GDPRはEU域内で適用される《通用数拠保護条例》であり、現在、最も厳しい個人情報保護法と言われていますが、中国では適用されません。中国の《網絡安全法》の立法目的はネットワーク全体の安全および国と社会の公共利益を守ることであり、拘束の主体はネットワークの建設者、運営者と監督部門です。

御社および御社グループが把握しているデータ情報が、上述の「重要な情報インフラ」に属さない場合、その情報を合理的に収集・利用し、内部で共有することを禁じていません。

ただ、一定程度、データ情報の管理と保守を強化することによって、改ざん・不法利用および外部に個人情報を漏洩する事件の発生を防ぐ必要はあります。

 

以上、ご確認ください。

ご不明点などございましたら、随時ご連絡ください。

 

Contact Us

お問い合わせ&相談予約フォーム

こちらから相談予約受付中!ビデオ相談・メール相談でお話を伺います

初期相談は全て無料です

弊社のような専門業者への相談はいろいろハードルが高いと思いますが初期相談はすべて無料です。

営業担当者も置いていないため追客行為も一切行いません。

課題に手をつけず化膿する・後手に回る・損失拡大する前に、とりあえずご相談ください。

お申込みフォームからお問い合わせ・相談予約

メールフォームにて24時間受け付けています。

リモート相談のご予約もこちらからどうぞ。

お問い合わせフォームに進む>

メール/電話でのお問い合わせ・相談予約

メール

中国 022-2325-1521(日本語)

日本 03-6822-4350

Zoom / Teams / WeChat / Skype など、ご希望のオンラインツールでリモート相談も承ります。

Contact Us

お問い合わせ&相談予約フォーム

こちらから相談予約受付中!ビデオ相談・メール相談でお話を伺います

初期相談は全て無料です

弊社のような専門業者への相談はいろいろハードルが高いと思いますが初期相談はすべて無料です。

営業担当者も置いていないため追客行為も一切行いません。

課題に手をつけず化膿する・後手に回る・損失拡大する前に、とりあえずご相談ください。

お申込みフォームからお問い合わせ・相談予約

メールフォームにて24時間受け付けています。

リモート相談のご予約もこちらからどうぞ。

お問い合わせフォームに進む>

メール/電話でのお問い合わせ・相談予約

メール

中国 022-2325-1521(日本語)

日本 03-6822-4350

Zoom / Teams / WeChat / Skype など、ご希望のオンラインツールでリモート相談も承ります。