株式会社協栄情報

AWS in China

中国サイバー
セキュリティ法対策

中国ビジネスをお考えの方に

協栄情報では、中国サイバーセキュリティ法に適したAWS製品
および関連ソリューションや、
日本・中国のクラウド間安定接続サービスを提供します。

中国サイバー
セキュリティ法対策

2017年6月1日に施行された中国サイバーセキュリティ法（网络安全法）は、
中国進出を考えている企業、中国で事業展開している企業にとって、避けて通れない基準法です。
中国国内外でのデータ処理、
中国国内でのインターネットを含むネットワークを利用したシステム運用や保守、
サービスなどを提供するあらゆる企業が
対象であり、内資・外資を問わず
法律の順守が求められます。

中国サイバー
セキュリティ法とは違反した場合対象となる範囲対応すべきこと関連
ソリューション

中国サイバーセキュリティ法とは

中国サイバーセキュリティ法は、中国国内でのデータ保護、情報セキュリティ、ネットワーク管理を強化する法律です。
内資・外資を問わず中国でビジネスを展開する企業に対して、厳格なデータ保護とネットワークセキュリティの基準が求められます。
データ漏洩やセキュリティ違反が発生した場合、高額な罰金や営業停止のリスクがあり、中国市場での事業運営にはこの法律の順守が不可欠です。

関連法案が段階的に整備

・2017年6月　
中国サイバーセキュリティ法　施行
・2020年1月　
暗号法　施行
・2021年11月
個人情報保護法（PIPL）　施行
・2021年9月　
データセキュリティ法　施行
・2021年9月　
重要データ管理規則　施行
・2023年6月　
中国サイバーセキュリティ産業発展計画　施行

中国サイバーセキュリティ法はあくまで基本的な枠組みを提供する基準法であり、その適用や運用は、多くの関連法令やガイドラインによって成り立ち、詳細が決定されます。

中国サイバーセキュリティ法

関連法令・実施規則などのカテゴリー

個人情報保護法（PIPL）

データセキュリティ法

越境データ規制

等級保護評価

暗号法

重要インフラ施設・
事業者規制

例えばデータ保護に関する場合では、複数の法律について考慮する必要があります。

データ保護に関して、
各法令で要求される主要な3つの分野

1：セキュリティ対策

セキュリティガバナンス

分類・保護

監視・早期警告

緊急時対応

リスクアセスメント

セキュリティ対策

データ共有・データ取引

2：個人情報の取り扱い

個人情報
(一般的な場合)

個人情報
(機密性の高い場合)

正統性と最小限の情報収集

正統性と完全性

同意と権利

プライバシーポリシー

リスクアセスメント

3：データの越境

正当性

範囲

リスクレベル

セキュリティ評価

権限の承認

セキュリティ対策

管理能力

法的根拠

データセキュリティ法

個人情報保護法

暗号法

データセキュリティ法

中国サイバーセキュリティ法

※横スクロールしてご覧ください。

中国国内で収集・作成した個人情報や
データに対する法令と
順守すべき対応

中国国内で収集・作成した個人情報や
重要データは原則中国国内に保存

個人情報　重要データ

※中国本土への保存が必要となります。

中国国内で収集・作成した個人情報や
重要データの中国国外へのデータの越境※転送規制

個人情報　重要データ

※越境とは、データを直接提供する場合や、業務利用、サービス提供、商品提供の形で中国国外の機関・組織、もしくは個人にデータを提供することを指します。

中国のサイバーセキュリティ法に基づき、AWS関連事業者が規制対象データを越境する場合には、データの種類に応じて主管当局の審査や社内でのセキュリティ評価が必要です。
また、個人情報を取り扱う際には、事前に本人の同意を取得する必要があります。

データの越境について、主管当局の
可否評価が必要となるケース

個人情報を含むデータの
越境転送※

重要データの越境転送※

機密情報の越境転送※

※例）大規模な個人情報データベース（人口データなど）、国家のエネルギーインフラに関するデータ、医療情報（全国的な健康データなど）、大規模な建設プロジェクトに関する情報、海洋環境に関するデータ、地理情報（詳細な地図データなど）、軍事機密情報、核施設に関するデータ、生物化学に関する情報、国防または軍隊の情報、政府機関の運営に関する情報重要な経済データ（金融市場、貿易情報など）など
※越境に関するガイドラインは今後変更がある可能性があります

中国サイバーセキュリティ法を
守らないとどうなる？

中国サイバーセキュリティ法に違反した場合、企業に対して強制的な改善措置が要求され、違反内容により以下の処罰が課せられる可能性があります。
法的責任追及・事業ライセンスの取り消しなどのリスクもあり、事業への大きな影響・損失が考えられます。

サイバーセキュリティイメージ

■罰金
■関係者の法的責任追及(刑事罰の適用)
■事業活動の停止命令
■事業ライセンスの取り消し

中国サイバーセキュリティ法の
対象範囲

拠点中国の現地法人だけでなく、以下の場合などは日本法人も法令への対応が必要になります。

・中国国内でのビジネス活動・グローバルなクラウドサービスの利用
・中国国内の提携先とのデータ共有
・グローバルなデータ分析やサポートサービス

拠点が日本でも対象となります

人・組織一般企業でも自社システムの運営者（ネットワーク運営者）として、セキュリティ対策を講じる必要があります。

高

求められる法的条件

低

重要インフラ運営者

主に電力、交通、金融、通信などのインフラや、国家の安全、経済、社会の安定に重大な影響を及ぼすシステムやサービスを運営している企業。
これらの運営者には、最も厳格なセキュリティ対策や法的要求が課されます。
大量の個人情報を取り扱う企業

中国国内で収集した個人情報が大量で、かつその情報が大規模な管理を必要とする場合。
個人情報保護法（PIPL）に基づく要求が高く、データの越境転送に関する規制も厳しくなります。
中国市場向けのオンラインサービス提供者

中国のユーザーに対してオンラインサービスや製品を提供している企業。
例えば、ecサイトやクラウドサービスの提供者は、中国国内でのデータ管理や越境転送に関して法的条件を遵守する必要があります。
中国企業とのデータ共有を行う企業

中国の企業やパートナーとデータを共有する場合。
データの共有先や利用方法によって、サイバーセキュリティ法の要件を満たす必要があります。
一般的な業務を行う企業

特に大規模なデータや重要インフラを扱わない場合でも、中国国内で収集したデータを取り扱う企業は、一定のサイバーセキュリティ法の規制に従う必要があります。

中国サイバーセキュリティ法で
対応すべきこと

サイバーセキュリティ法の対応は、システム実装と組織整備に分かれます。

データ保護のための
暗号化や
アクセス制御

データの越境転送に
関する
セキュリティ対策

個人情報と重要データの
中国国内保存

等級保護評価と申請
を実施

データ保護ポリシーの
策定と実施

セキュリティインシデントの
検出と対応

システム実装

1. ログの保存と暗号化
- ・サーバーのログを一定期間保存し、データをバックアップ・暗号化して保護します。
2. 不正侵入検知と防止
- ・不正アクセスの検知システムを導入、不正コンテンツの防止策を実施します。
3. 中国国内へのデータ保存
- ・個人情報や重要データは中国国内に保存し、国外への転送を制限します。
4. 越境時の適切な管理
- ・越境時のデータの転送には厳格な管理を行い、中国政府の規定に従って必要な許可を取得、安全にデータを移転します。

組織整備

1. データ保護ポリシーの策定と実施
- ・データ保護ポリシーを策定。データの収集、保存、使用、共有に関するガイドラインを作成し、組織全体で実施。
2. リスクアセスメントと管理
- ・個人情報や重要データのリスク評価を実施し、適切な保護策を実施。データの分類、リスクの特定、緩和策の実施など、定期的な見直しをします。
3. 等級保護評価と申請
- ・データの重要度に応じた等級保護評価を行い、必要な申請手続きを進めます。
4. インシデント対応
- ・セキュリティインシデントが発生した際の対応計画を策定し、迅速に対応できる体制を整備。