中国国内から「新型肺炎」の情報発信もサイバーセキュリティ法違反!?個人情報と重要データの定義とは?
中国インターネット・通信規制のトピックを語る上で避けて通れないのは「中国サイバーセキュリティ法」です。
中国サイバーセキュリティ法(中华人民共和国网络安全法)
https://baike.baidu.com/item/中华人民共和国网络安全法
中国ITプロフェッショナル「JOYTEL」が、中国サイバーセキュリティ法に関する実務上の注意点について簡単に!解説します。
前回は中国サイバーセキュリティ法の重要ポイントから「データ越境伝送」に関する実務について説明をしました。
前回の要点は「個人情報」と「重要データ」は社内でアセスメントを実施し、セキュリティ等級が一定以下である場合は、中国から海外への越境伝送も可能であることでした。
では、このサイバーセキュリティ法では「個人情報」と「重要データ」と位置付けられる情報はどのようなものであると定義されているのでしょうか?
中国サイバーセキュリティ法における「個人情報」の定義
「個人情報」は明確です。
サイバーセキュリティ法第76条に定義が明記されています。
「個人情報とは、電子又はその他の方式で記録した単独又はその他の情報と組み合わせて自然人(個人)の身分を識別することができる、自然人の氏名、生年月日、身分証番号、個人の生体認証情報、住所、電話番号等を含むがこれらに限らない各種情報をいう。」
重要情報インフラから収集・発生した「個人情報」と「重要データ」は中国国内で保存
「「重要情報インフラ」にて収集・発生した個人情報と重要データ」がアセスメントにおいて重要な対象であると述べられています。
この重要情報インフラは以下の13領域であると記載されています。
これらの領域に属する業種の企業は注意をしたほうがよいのかもしれません。
- 党政機関及び重要ニュースサイト
- 全国に影響があるネットプラットフォーム
- エネルギー(電力、石油、石炭)
- 金融(銀行、証券、保険)
- 交通(鉄路、民航、水運、道路)
- 水利
- 医療衛生
- 環境保護
- 工業製造(原材料、装備、消費品、電子製造等)
- 電子行政及び生産システム
- 放送局、テレビ
- 電信及びインターネット(キャリア、プロバイダー、増値業務提供者)
- 市政(給水、暖房、軌道交通、汚水処理)
「特に」主管部門又は監督部門のセキュリティ評価を受ける必要があるデータ
「特に」という表現で当局からの評価を受ける必要があり、重要であると明記されています。
- 50万人以上を含む個人情報。
- 1000GB以上のデータ。
- 原子力施設、化学生物、国防軍需産業、人の健康等の分野データ、大型プロジェクト、海洋環境、敏感度の高い地理情報データ及び重要情報インフラの安全欠陥、具体的なセキュリティ保護保護措置等のサイバーセキュリティ情報を含む。
- その他国家安全と社会と公共の利益に影響を及ぼす可能性有。
国家法律、行政法規、部門規定などの関連規定に適合しないものは移転禁止。
明確に移転禁止と規定されている情報もあります。
これらが明確に移転禁止となるのは中国ではなくとも当然でしょう。
- 個人情報提供者の同意を得ていない個人情報。
- 国家利益を害する可能性がある情報。
- 国のInternet情報部門、公安部門等が法に基づき認めたもの。
以前に、中国在住の日本人が温泉発掘のための地質調査を行ったことから逮捕されたとのニュースがありました。
今回の「重要データ」の考え方からするとこの地質調査は中国当局としては敏感度の高いものなのかもしれません。
2020年1月現在では日本でも騒がれている「新型肺炎」に関する感染者データは「特にセキュリティ評価を受ける必要がある重要データ」の人の健康等の分野データに相当するのかもしれません。これを安易に中国内から日本に対して発信するのは日本人としては止めたほうがよいと思われます。
※
中国当局が情報統制をしているからと言って、中国国内の中国人がこの新型肺炎について何も知らない等ということはありません。
現に、今、中国内で最も売れている日本の商品は「マスク」だそうです。
中国在住の皆様、情報発信も健康にも注意しましょう。
※本記事のイラストは「イラストAC」からダウンロードして利用させていただいています 。
