中国サイバーセキュリティ法の要点・最大の課題「データ越境伝送」対策とシステム構築事例
中国インターネット・通信規制のトピックを語る上で避けて通れないのは「中国サイバーセキュリティ法」です。
2016年11月7日、中国の全国人民代表大会常務委員会によって可決・公布され、2017年6月1日から施行されています。
中国サイバーセキュリティ法(中华人民共和国网络安全法)
https://baike.baidu.com/item/中华人民共和国网络安全法/
中国ITプロフェッショナルである「JOYTEL」が、中国サイバーセキュリティ法に関する実務上の注意点について簡単に!解説したいと思います。
中国サイバーセキュリティ法の重要ポイント
中国サイバーセキュリティ法の重要ポイントは4つあります。
- セキュリティ等級保護
- 個人情報保護
- 重要情報インフラ
- データ越境伝送
「個人情報」や「重要情報」「重要情報インフラ」を点数付けし、その点数によって必要な対処方法が決まることが特徴です。これが「セキュリティ等級保護」と言う考え方です。
そして、中国にて事業を行う日系企業にとって最も関心の高いのは「データ越境伝送」に関する規制でしょう。
今回はこの実務上で最も重要な、逆に言えば在中国の日系企業は中国サイバーセキュリティ法の少なくともこの点にだけ注意すれば良いという内容を説明します。
全てのデータが海外に持ち出し不可というのは嘘!「データ越境伝送」に関する実際の運用は?
中国サイバーセキュリティ法が公布された当時は、全てのデータを中国から海外に持ち出すことができないのか?と日系を含む外資系企業の間に衝撃が走りました。
各地で開催された中国関連セミナーにおいても、中国から日本へのデータ越境伝送に関する質問ばかりが取り上げられたものです。
中国関連セミナーの講師も弁護士等である場合が多く、その立場上、公には「○○については問題無い」等とはっきりと言うことはできず、「法律の文章はこう表現されている」「現時点ではこのような取り締まりがあった」「詳細は当局に確認・承認を得てください」等と言うばかり。
在中国の日系企業の立場としては、おいそれと当局に確認しに行く等ということもできません。大概にして何らかの窓口でそのようなことを問い合わせても「現場では知らない」と言われるのがおちなのであり、日系企業の担当者としても途方に暮れたものでした。
そのような日系企業の実務者の悩みに応えるべく、中国ITプロフェッショナルである「JOYTEL」が、この「データ越境伝送」に関する実務について説明したいと思います。
在中国の日系企業が行うべき実務は以下2つだけです。
- ・「個人情報」及び「重要データ」の越境伝送時にアセスメントを実施すること
- ・中国大陸内で収集した「個人情報」及び「重要データ」については、中国大陸内に保存すること
■「個人情報」及び「重要データ」の越境伝送時にアセスメントを実施すること
社内において越境伝送の可能性がある情報・データを全て洗い出して評価すること、そして、重要度と事件発生可能性が高いデータについては越境不可とすることが必要です。
逆に言えば、簡易なデータであっても勝手にデータを越境させるのではなく必ず評価の対象とすること。そして、その評価の結果、重要度と事件発生可能性の点数が低いデータであれば越境することは可であるということになります。
日本国内においても情報セキュリティマネジメントシステム(ISMS)認証を実施したことがあればわかると思いますが、まずは社内にて扱うデータを洗い出して評価するという作業を行うということです。
簡単に言えば、エクセルのシートに自社が取り扱うデータの一覧を洗い出し、保管場所、アクセス権限、越境伝送に関する有無、セキュリティ等級等の情報を記載しておきます。
セキュリティ等級の高いデータについては、越境伝送不可ですが、それ以外のデータについてはこのアセスメントを実施した結果をもとに伝送を行うことも可ということになります。
万が一、後から当局から指導等がある場合、このアセスメントの有無によってその指導内容・処分が決まると言ってもよいかもしれません。
繰り返しですが、日本のISMS認証と同じだと認識いただければ、それほど難しいことではないということもわかるでしょう。
とにかく自社の中国内の活動に関するデータを整理し、それを書面に残すということが重要です。逆に言えばそれだけでも良いのです。
■中国大陸内で収集した「個人情報」及び「重要データ」については、中国大陸内に保存すること
中国大陸内で収集したデータは中国大陸内に保存しなければなりません。
例えば、何らかのデータの取得を伴うシステムを日本のクラウド上に構築し、中国のエンドユーザーから直接そのデータを取得するということは不可ということになります。
取得したデータを中国大陸内のシステムに保存してアセスメントを受ける。その結果をもって越境伝送が可能であるか否かを決める、これが正しい姿であると考えられます。
Facebook等のまさに個人情報を蓄積するサービスを海外のサーバから中国国内に対して提供してはならないということになります。
実際のところ、欧州の厳しい個人情報保護でも同様の規制はありますため、中国サイバーセキュリティ法が特別に厳しいと言う訳ではありません。
※
そもそも、中国から海外に対して何の対策も無いデータの送受信は不安定となります。
一般的なメール等であればそれほど問題は無いですが、日中間でシステムを構築する場合には、このような直接的なデータ伝送は技術的にも難しいのです。
中国から日本への越境伝送を伴うシステムの構築
この記事をお読みの方は、中国関連のITプロジェクトに関わる場合も多いでしょう。
中国サイバーセキュリティ法を順守し、かつ安定的でコストパフォーマンスの良い中国から日本へのデータの越境伝送を行うシステムを構築するにはどのようにするべきか?とお悩みである場合もあるかと思います。
答えは、中国と日本の双方にリージョンを持つクラウドを利用すること。
中国リージョンにデータ取得のためのシステムを構築、クラウドが提供する中国・日本間の接続サービスを利用して必要かつアセスメントにより許可されたデータのみ日本に伝送、日本リージョンでは必要なデータだけを取得する、という構成です。
これを実現できるクラウドの代表は、皆様もご存じのAlibaba社が提供するAlibabaCloud(Aliyun)でしょう。日本側はAlibabaと提携するソフトバンク(旧SBクラウド)が運営しています。
AWSやAzureは中国と日本間に正式な接続サービスが無く(サードパーティが提供するサービスはあります)、他の中国系クラウドは日本での存在感はまだありません。
中国・日本間のデータ越境伝送システムを構築するためには、Aliyunとソフトバンク(旧SBクラウド)の利用が効果的です。
Aliyunそのものは日本側からでも日本語をベースとして構築可能であるため、日本企業にとっても利用しやすいクラウドであると言えるでしょう。
もちろんAliyunは大手Alibabaにより構築されたクラウドであるため、そもそも中国サイバーセキュリティ法を順守していると言えます。
「JOYTEL」は、中国ITに詳しい技術者チームが運営しています。
これまでの実績としても、中国における多拠点のIoTゲートウェイから取得したデータを中国クラウドを通じて日本に伝送して管理・分析するシステムを構築しています。
もし、この中国・日本間IoTデータ伝送ソリューションにご興味のある方は「JOYTEL」サポートセンター(support@joytel.jp)までご連絡をお願いします。
今回は、中国サイバーセキュリティ法の重要ポイントから「データ越境伝送」に関する実務について簡単に説明をしました。
「個人情報」や「重要データ」、セキュリティ等級の定義については、また次回に説明したいと思います。
※本記事のイラストは「イラストAC」からダウンロードして利用させていただいています 。
