中国におけるサイバーセキュリティー法規制にかかわる対策マニュアルを読んでみた
日本貿易振興機構(ジェトロ)北京事務所が現地法律事務所金誠同達法律事務所に作成委託し、2018 年 2 月に入手した情報に基づくものであり、その後の法律改正などによって変わる場合があります。
ということで、中国のサイバーセキュリティに関してどういった状況にあるのか気になったので、手っ取り早くググったところ、上記のURLにあたったので、拝読したい。
気になったところを、かいつまんで箇条書きにしている。なお、引用部を除いて、筆者の所感であって、想像の内容が含まれていたり、不正確な内容が含まれていたりする余地が多分にあるので、以下の情報の正確性など保証しない。
また、引用部は上のURLのPDFから文を引用したものであって、当該法律の条文ではない。
「中華人民共和国サイバーセキュリティー法」について調査された内容
2017年6月1日に施行
外資企業を含めて適用される
その国の国内法を遵守する必要があるのは、当然といえば当然か
法によって、企業に罰金が生ずる義務を課している
例えば、
サイバーセキュリティー等級保護義務を履行しないとき。
サイバーセキュリティー事件緊急対応プランを制定しないとき。
実名制義務を履行しないとき。
など
罰金は、義務内容によるものの1万元~100万元までの幅がある。
2019年1月時点で1元=およそ16円なので、最高でおよそ1600万円程度になる。
実名制義務というのが気になる。
日本と比較するとどうだろう?
企業に対して義務を課した法律はあまりない?
電気通信事業法とか
一般企業向けには、個人情報保護法くらいで、上に出したようなサイバーセキュリティに関して何かあらかじめ施して置かねばならないなどの義務は、法的にはあまりないように見受ける。
サイバーセキュリティー等級保護制度
具体的には、サイバーセキュリティー責任者の確定、コンピュータウィルス等のネットワークの安全に危害を及ぼす行為を防止するための技術的措置の実施、ネットワークの運行状態およびサイバーセキュリティー事件をモニター・記録する技術的措置の実施、関連するログファイルの 6 カ月以上にわたる保管、データ分類、重要データバックアップ、暗号化等の措置の実施が義務として挙げられている。
こうしてみると、日本でも求められているものではあるので、観点としては特別というわけではない。ただし、罰金が生じる義務がある。
インターネット実名制推進の義務
インターネット企業がユーザーのためにインターネットアクセス、ドメイン登録サービスを提供し、固定電話、携帯電話等のインターネットアクセス手続きをし、ユーザーのために情報発布、インスタントメッセージ等のサービスを提供し、ユーザーと協議書を締結し、サービスの提供を確認する場合には、ユーザーに対し、真実の身分情報を提供するよう要求しなければならない。ユーザーが真実の身分情報を提供しない場合には、インターネット企業は、当該ユーザーのために関連するサービスを提供してはならない。
インターネットメッセージ…というと、メッセンジャーや日本でいうLINEのようなアプリなどといったところか。このレベルにまで身分証明をもとめるのは、「インターネット実名制」というのは、誇張ではない。
日本では「本人確認法」というものがあるが、これは資金洗浄防止などを目的とした反社会的勢力に対する法律である。なので、日本で行っている本人確認とこの中国の法律のそれとは、全く性質が異なるものといえる。
日本では長らく「インターネット匿名性」といった観念の方が多く占めているのもあるから、この法律が目指すところは一口に「サイバーセキュリティ」と言っても、日本のそれとは全く違う思想によって行われるものといっていいだろう。
所感
日本の法律に、同じような名称の「サイバーセキュリティ基本法」といったものがあるが、これは日本が国としてのサイバーセキュリティに関することを定めたもの。
なので、日本のそれは割と概念的な観念しかない。詳しい対応は、他の法律や規則になる。
中国のこの法律は、読む限り企業に課す実務的な義務を規定しているように見える。「インターネット実名制」といえる直接的な統制に思える。
一方、義務として課している内容について、サイバーセキュリティ保護や緊急対応プラン、個人情報保護の観点など、それ自体は日本においても企業として行ったほうがよいものではあり、実践的な観念でいえば(実名制のそれや統制に関するものは除いて)納得できる内容は多い。