サイバーセキュリティ法が施行されてから4年後の2021年、データ安全法及び個人情報保護法の施行によってようやくデータ領域の三つの基本法(以下「データ三法」と総称する)がそろい、データ立法は大きな飛躍を遂げた。
そのダイナミックな動きを受け、弊所は早期からデータ法制の研究に注力するとともに、日系企業における対応策の構築を支援するための体制を整えてきたところであり、現に企業の側から、プライバシーポリシーのアップデート、データ取扱いルールを周知する従業員研修、データ越境移転契約のドラフト、越境移転リスクの評価、個人情報取扱い活動の影響評価、データ取扱いの注意点に関するアドバイスなど種々の依頼が寄せられるようになっている。そこで、本稿においては、データコンプライアンスをめぐるリーガルサービスのニーズが高まっている現状を踏まえ、実務で大きく注目されているデータ三法の主要な制度を紹介するとともに、対応策について検討するものとしたい。
Ⅰ データ立法の全体像
下表のとおり、ここ数年、データ三法だけでなく、その管理条例、運用規則、ガイドライン、国家標準、司法解釈といった様々な形態でデータセキュリティ分野の立法が活発に行われ、データ法制が整備されつつある。特に、ネットワークデータ安全管理条例(意見募集稿)、データ出国安全評価弁法(意見募集稿)などの法令は、実務への影響が大きく、その動向については特別に注視する必要がある。
分野 |
法令の類型 |
法令の名称 |
データ総合 |
法律 |
国家安全法(2015年7月1日施行) |
サイバーセキュリティ法(2017年6月1日施行) |
||
データ安全法(2021年9月1日施行) |
||
行政法規 |
ネットワークデータ安全管理条例(意見募集稿)(2021年11月4日公布) |
|
部門規定 |
ネットワーク安全審査弁法(改正法2022年2月15日施行) |
|
部門の規範性文書 |
ネットワークデータ安全標準体系建設ガイドライン(意見募集稿)(2020年4月10日公布) |
|
国家標準 |
情報安全技術 ネットワークデータ取扱安全規範(意見募集稿)(2020年8月28日公布) |
|
重要データの保護 |
国家標準 |
情報安全技術 重要データ識別ガイドライン(意見募集稿)(2022年1月13日公布) |
個人情報の保護 |
法律 |
民法典(第四編 人格権 第六章 プライバシー権及び個人情報の保護)(2021年1月1日施行) |
法律 |
個人情報保護法(2021年11月1日施行) |
|
司法解釈 |
最高人民法院の顔認証技術の利用による個人情報の取扱いについての民事案件の審理における法律の適用に関する若干問題の規定(2021年8月1日施行) |
|
国家標準 |
情報安全技術 個人情報安全規範(GB/T 35273-2020)(2020年10月1日施行) 情報安全技術 個人情報安全影響評価指南(GB/T 39335-2020)(2021年6月1日施行) |
|
データの越境移転 |
部門規定 |
データ出国安全評価弁法(意見募集稿)(2021年10月29日公布) |
国家標準 |
情報安全技術 データ越境移転安全評価ガイドライン(意見募集稿)(2017年8月30日公布) |
|
業界別データ関連規定 |
特定業界におけるデータの分類・保護・取扱いルールについて定められた各種の規定、国家標準など |
|
II データ三法の主な制度
1.概観
データ三法の主な立法趣旨と各法により確立された主要な制度をまとめると、下表のようになる。
サイバーセキュリティ法 |
データ安全法 |
個人情報保護法 |
|
施行日 |
2017年6月1日 |
2021年9月1日 |
2021年11月1日 |
立法 趣旨 |
サイバー空間における安全保障、セキュリティ及びガバナンスに関する基本的ルールを規定 |
国によるデータセキュリティ管理の枠組みとデータ特に重要データの取扱いに関する基本的ルールを規定 |
個人情報保護の基本的原則、個人情報取扱いの全ライフサイクルにおけるルール、個人情報をめぐる個人の権利を規定 |
主要な制度 |
等級保護制度に基づくサイバーセキュリティ義務 |
データ分類分級制度、重要データ目録制度 |
個人情報・機微個人情報の分類 |
重要情報インフラ運営者(Critical Information Infrastructure Operator、以下「CIIO」という)のサイバーセキュリティ義務 |
重要データ保護義務(安全責任者の設置、重要データ取扱いのリスク評価及び評価報告の主管部門への報告等) |
個人情報の取扱いのルール(取扱い時の告知及び同意取得の原則と例外、収集・共同管理・委託処理・第三者提供のルール) |
|
情報セキュリティにおける個人情報保護義務 |
その他のデータ安全保護義務 |
個人情報取扱者の個人情報保護影響評価義務 |
|
情報セキュリティにおけるコンテンツ管理義務 |
個人情報取扱行為に対する個人の権利 |
||
サイバーセキュリティインシデントへの対応義務 |
データセキュリティインシデントへの対応義務 |
個人情報漏洩等のインシデント発生時の当局報告及び本人通知義務 |
|
サイバーセキュリティ審査制度 |
データ安全審査制度 |
||
CIIOの重要データ・個人情報の国内保存義務、越境移転の規制 |
重要データの国内保存義務、越境移転の規制 |
個人情報の越境移転の規制 |
|
‐ |
国外法執行機関等へのデータ提供時の許可制度 |
国外法執行機関等への個人情報提供時の許可制度 |
|
‐ |
輸出規制品目に該当するデータの移転規制 |
ブラックリスト制度(リスト掲載者への個人情報の提供を制限・禁止) |
|
- |
投資、貿易等の分野のデータの開発及び利用技術等に関し中国に差別的な措置をとる国・地域への対抗措置 |
個人情報保護に関し中国に差別的な措置をとる国・地域への対抗措置 |
2.重要制度
(1)責任者制度
サイバーセキュリティ法は、ネットワーク運営者にネットワーク安全責任者の設置を、重要情報インフラ運営者(以下「CIIO」という)[1] にそのネットワーク安全責任者及び管理機関の人員に対する背景審査をそれぞれ義務付けている。
また、データ安全法は、重要データの取扱者に対し、データ安全保護責任を担うデータ安全責任者及び管理機関の明確化を求めている。
さらに、個人情報保護法は、国家ネットワーク情報部門が定める数量の個人情報を取り扱う者においては、個人情報取扱活動、講じられた保護措置などの監督を行う個人情報保護責任者を明らかにしてその連絡先を公表するとともに、その氏名、連絡先等の情報を当局に届け出なければならないとしている。
もっとも、これら各法が設置を義務付けた「ネットワーク安全責任者」、「データ安全責任者」及び「個人情報保護責任者」について、その適格性に関する詳細な規定は定められておらず、国籍や兼任制限などの規制も存在しない。現時点においては、その職位や知識・経験からみて、サイバーセキュリティ及びデータセキュリティの統括管理を行いうる者が適任者になると考えられる。また、データ取扱行為について意思決定を行い、監督管理当局への報告義務が発生する事項について当局と直接に意思疎通を行うといった役割を担うことがあることから、しかるべき権限を有する者が就任することが望まれる。
(2)国家安全保障に関する制度
データ三法は、データ取扱いに関するルールだけでなく、データをめぐる国の安全保障にも重点を置いている。
① 国家安全審査制度
サイバーセキュリティ法によると、CIIOがネットワークに関する製品・サービスを購入することが国の安全に影響を及ぼすおそれがある場合、国家安全審査を受けなければならない。データ安全法も、国家安全審査について定めており、国の安全に影響を及ぼし又はそのおそれがあるデータ取扱活動がその対象とされている。
サイバーセキュリティ及びデータ安全分野における国家安全審査制度についてより明確に定めたのが2020年6月1日施行の「サイバーセキュリティ審査弁法」である。同法は2021年に全面改正され、その改正法も2022年2月15日に施行されるに至った。この改正法の下、CIIOによるネットワークに関する製品・サービスの購入行為やインターネットプラットフォーム事業者によるデータ取扱活動が国の安全に影響を及ぼし又はそのおそれがある場合には、国家安全審査を受けることが必要とされ、CIIOにおいては、調達文書、仕入契約書などを通じ、仕入先にサイバーセキュリティ審査(すなわち国家安全審査)への協力をさせることも義務付けられている。その協力の内容には、製品・サービスの提供に乗じてユーザーのデータを不法に収集しないこと、ユーザーのデバイスに対する不法なコントロールや操作をしないこと、製品の供給や必要な技術サポートを正当な理由なく停止しないことに関する承諾が含まれる。
② 重要データ保護制度
重要データとは、一旦改ざん、破壊、漏洩又は不正取得、不正利用がなされると、国の安全、公共の利益又は個人・組織の適法な権利・利益を損するおそれのあるデータをいう。データ安全法は、国が重要データ目録の制定を統一的に計画調整し、各地区・各部門がデータの分類分級制度に従って当該地区・部門の関連業種・分野の重要データに関する具体的な目録を定めるものとしている。また、2022年1月13日には国家基準「重要データ識別指南」のパブリックコメント案が公布されるなど、重要データの判定方法に関する立法も進められている。
重要データはその位置づけにおいて国家安全保障と密接な関係を有することから、その取扱いルールには特別な注意を要する。なお、現時点において、重要データ取扱いに関する具体的ルールは、一部業界で先行しているものはあるが、本稿執筆時点で「ネットワークデータ安全管理条例(意見募集稿)」「情報安全技術 ネットワークデータ取扱安全規範(意見募集稿)」といった草案段階にとどまる。「ネットワークデータ安全管理条例(意見募集稿)」によると、重要データの識別後の当局への届出義務、三級以上のネットワーク安全等級に相当する保護、パスワードによる保護、データ安全の年次評価・報告制度など種々の制度を定めている。
③ その他
以上のほかにも、第Ⅰ章の表に掲げたように、データの越境移転規制、国外法執行機関等へのデータ提供時の許可制度、輸出管理法に基づくデータの移転規制、外国の差別的措置への対抗措置など、データ・個人情報に関する安全保障体制が整備されつつある。
(3)データの国内保存義務及び越境移転の規制
データ三法は、データ越境移転の要件をそれぞれ下表のように定めている。
サイバーセキュリティ法 |
データ安全法 |
個人情報保護法 |
・CIIOが中国国内での運営において収集・生成された個人情報及び重要データは、中国国内で保存しなければならない。業務上の確かな必要により越境移転を行う必要がある場合は、国家ネットワーク情報部門が国務院の関連部門と共同して定めた規則に従って安全評価を受けなければならない。 すなわち、CIIOによる個人情報及び重要データの越境移転は、国の安全評価を必要とする。 |
・CIIOが中国国内での運営において収集・生成された重要データの越境移転:左記と同じ。 ・CIIO以外の取扱者による重要データの越境移転:国家ネットワーク情報部門と国務院関連部門が別途制定する。なお、「ネットワークデータ安全管理条例(意見募集稿)」は、国家ネットワーク情報部門が安全評価を行う旨を定めており、この規定が公布・施行された場合には、その取扱者がCIIOか否かを問わず、重要データの越境移転について国の安全評価が必要となる。 |
・越境移転に際しての個人情報主体への情報開示及びその同意取得の原則 ・移転側の取扱者において必要な措置をとり、国外の受領者による個人情報の取扱い行為が本法に定める個人情報保護基準に達するよう保証すること ・次の要件のいずれかを充足しなければならない。 (1)国家ネットワーク情報部門の安全評価に合格すること。これは主にCIIO及び国家ネットワーク情報部門が定める数量の個人情報を取り扱う者 [2] が個人情報を越境移転する場合の要件となる。それ以外の取扱者についてもこの要件の充足により越境移転が可能か否かは定かでない。 (2)専門機関が行う個人情報保護認証を受けること (3)国家ネットワーク情報部門が定める標準契約に基づき、国外の情報受領者との間において契約を締結し、双方の権利義務を規定すること (4)その他法律、行政法規又は国家ネットワーク情報部門が定める要件 ・事前に個人情報保護影響評価を行うこと。 |
(4)評価・報告制度
データ三法は、下表のような種々の評価・報告義務を定めている。
サイバーセキュリティ法 |
データ安全法 |
個人情報保護法 |
|
取扱行為一般に対する評価 |
・CIIOによるネットワークの安全性及びリスクに対する年次検査評価及び検査評価結果・改善措置の当局への報告義務 ・ネットワーク運営者によるサイバーセキュリティインシデント発生時における調査評価及び警告情報の公表義務 |
重要データ取扱活動に対する定期的リスク評価 |
個人の権利・利益に重大な影響を及ぼす個人情報取扱い行為に対する個人情報保護影響評価(例:機微な個人情報の取扱い、個人情報を利用した自動的意思決定、個人情報の委託処理・第三者への提供・公開・越境移転) |
越境移転に対する評価 |
上記「(3)データの国内保存義務及び越境移転の規制」参照。 |
||
本稿執筆時点において、国家ネットワーク情報部門が行うものとされているデータ越境移転に対する評価について、その正式な細則が公布されておらず、実務においては、リスクヘッジのため事業者が独自に評価を行うケースが見受けられる。この評価は、主に次の諸点をめぐり行われていると考えられる。
(1)データ取扱活動の目的、範囲及び取扱方法の合法性・正当性・必要性
(2)データ取扱活動がもたらす影響
具体的には国の安全、公共の利益にもたらされうる影響(データ国外移転の場合には移転先の国・地域の政治的・法律的な政策・環境も評価対象となる)、データ取扱活動が個人の権利・利益に関わる場合に当該個人の権利・利益が受ける影響、データの漏洩、改ざん、紛失、破壊、移転又は違法な取得・利用が行われた場合におけるリスク
(3)データ取扱活動において講じた安全保護措置、特にデータ受領者のデータ安全保護能力
(4)データ取扱者においてデータの安全性を確保するために講じた措置(例えばデータ移転契約においてデータの移転者がデータの受領者に課した情報安全義務等に関する合意内容)
個人情報保護影響の評価は、個人情報保護法により課せられた法的義務であり、越境移転だけでなく、個人の権利・利益に重大な影響及ぼす取扱い活動であれば評価義務を負うことに注意を要する。例えば、個人情報の委託処理について、委託者は受託者に対して監督を行う立場にあるから影響評価の必要性はないと思われがちだが、この場合も評価が義務付けられる。個人情報影響評価の注目点は、以下のとおりである。
(1)取扱い活動の目的、方法の適法性、正当性、必要性
(2)個人の権利・利益への影響及び安全リスク
(3)保護措置の適法性、有効性及びリスク程度への的適合性
Ⅲ 企業における対応措置
以下、データ三法の施行に伴い、個人情報その他のデータを取り扱う事業者に一般的に求められる対応について概観する。
自動車、医療、金融など特定分野の企業に対する特殊な規制も存在するが、対象者が限られたこれらの規制への対応措置については説明を割愛する。
1.責任者の選任、管理体制の整備
データ三法に基づき、ネットワーク安全責任者、重要データを取り扱う場合にはデータ安全責任者、国家ネットワーク情報部門が定める数量の個人情報を取り扱う者は個人情報保護責任者を社内に設けることが求められる。それゆえ、各企業においては、ネットワーク及びデータの安全保護管理を統括する部署を設置し、相応の責任者にその運営を担当させることが望まれる。
この安全管理部署の具体的な役割は、会社が行う業務の種類、当該業務で利用するシステムの種類、取り扱うデータの種類・規模により違いがあるが、現行法令、国家基準、その他法令のパブリックコメント案からすると、基本的には、セキュリティ体制整備のための作業 [3] 、サイバー攻撃・データ漏洩や不正取扱い等発生時の対応、製品・サービスのセキュリティテストの実施、社内及び社外からの通報・クレームへの対応、データの越境移転や個人情報取扱い活動に関係する評価の実施、政府当局への報告・連絡などを担い、その責任者は、これらの作業を統括する重要なポストである。
データ三法は種々の評価・報告義務を定めているが、その実際の作業は極めて複雑となり、社内だけでは対応が難しい可能性もある。特にデータマッピング、データ取扱いのリスクの評価、具体的対応策の構築は、社内チームと法律専門家及びセキュリティ専門家との共同作業を要することも多い。したがって、早期から外部の専門家の協力を得て、取り扱っているデータの種類、取扱活動の類型、第三者の取扱活動と関わる場合には第三者のセキュリティ能力、取扱活動に伴うリスクに対して綿密な調査を行い、越境移転を含むデータ取扱いの評価及び当局への報告といった作業に備えた体制を整備することが必要となる。
2. 社内規程の整備及び従業員への周知・研修
社外の専門家の協力の下、重要データ・個人情報取扱いに関するマニュアル及びプライバシーポリシーなどの規程の制定・改正を行い、個人情報保護及びデータコンプライアンスに関する教育研修を適時に実施して、コンプライアンス体制を全面的に整備することが必要となる。セキュリティ対策の不備や個人情報の漏洩などによりサイバーセキュリティ責任を問われた処罰事件は、これまでそのほとんどが中国内資企業に対するものであったが、今後は外資企業も視野に入れた取締りの展開が予想される。このような状況の下、コンプライアンス体制の整備は、インシデントやデータ不正利用の防止策となるだけでなく、当局による突然の取調べに対応する有効な手段にもなる。
3.製品・サービスの全ライフサイクルにおけるコンプライアンスの徹底
原材料・設備の購入から製品の生産・納入及びサービスの提供に至る全過程で、データの収集、加工、伝送、共有、越境移転等の取扱いが行われる可能性があるが、そのいずれの段階でも、セキュリティインシデントや不適切なデータ取扱いが発生するリスクがある。それゆえ、全域、全時間帯及び全プロセスを一貫するサイバーセキュリティ及びデータコンプライアンス体系を確立し、特にデータの保存及び越境移転、重要データ及び機微な個人情報の取扱いについて、コンプライアンスリスクを防止・除去するための慎重な管理が必要となる。
例えば、データへのアクセス権限及びその取扱いの方法は、国家機密、国家核心データ、重要データ、一般個人情報、機微な個人情報、一般データといった分類によってそれぞれ異なることから、データの分類・レベルに応じてアクセス権限・取扱いの方法を設けるリスト化管理が望まれる。個人情報の取扱い方法を取り上げる場合、本人に情報開示(取扱者の氏名、連絡方法、取り扱う個人情報の種類、取扱いの目的・方法、保存の期間、本人の権利行使の方法・手順など)を行ったか否か、その取扱い行為について同意又は個別の同意を取得したか否か、機微な個人情報の取扱いの場合には、それを取り扱う必要性及び個人の権利・利益への影響にかかる情報を開示したか否か、重要データ・個人情報の越境移転に際して越境移転の安全リスクの評価、個人情報保護影響評価を行ったか否か、受領者との間に越境移転契約を締結したか否かなどの各項目のチェックを可能にするリスト管理が考えられる。
4.第三者との契約における留意事項
第三者からの仕入れ、第三者へのデータ処理の委託・データ伝送などの場面において、第三者のセキュリティの状況によっては予期せぬリスクに直面することがある。第三者との関係について、個人情報保護法は、個人情報の委託処理を行う場合における委託者の監督責任や個人情報の越境移転を行う場合における移転者の保証責任(受領者による個人情報の取扱いが中国の個人情報保護法に定める保護基準に達していることの保証)を明確に定めている。それゆえ、第三者との契約において、当該第三者のサイバーセキュリティ、データセキュリティなどの義務を明確化することが不可欠となる。さらにデータの委託処理や越境移転を行う際には、事前に専門家を起用して相手方に対してデータ関連のデューデリジェンスを行うこと、相手方に対する契約履行期間中のセキュリティ監査権を持たせることも対策として考えられる。
既述のように、CIIOの特定の仕入活動が国家安全審査の対象となる場合、仕入先は当該国家安全審査との関係でCIIOから種々の協力を求められる可能性がある。仕入契約をめぐるCIIOとの交渉に際しては、国家安全審査に協力するために必要な内容であるか否かを見極め、過度な協力及び承諾を行うことを避け、かつ、当該協力義務の履行時に発生しうる情報漏洩や自国の法的義務への違反のおそれにも注意する必要がある。
おわりに
データ三法の施行により、サイバーセキュリティ及びデータセキュリティの立法が一定程度整備された。これまでに、日系企業の作業は個別業務のデータコンプライアンスの問題をめぐる相談、プライバシーポリシーや社内規程の制定といった業務が中心であったが、頻発するサイバー攻撃、データ漏洩などのインシデント及びデータ三法の法執行がますます厳格に行われるに連れて、場当たり的な対応措置では十分でないことが問題として顕在化している。それゆえ、データマッピング作業を基礎とし、データ取扱い活動における問題点を詳細に洗い出したうえ、リスクと安全措置のチェック、インシデント応急対応、取扱い活動の評価及び当局への報告といった作業が複製可能な形で行われるようにコンプライアンスシステムを全面的に整備することが望まれる。
弊所は、日系企業のビジネス文化を熟知し、データセキュリティ業務に関しても豊富な経験を蓄積できていて、データ関連の日常的なアドバイスからデータマッピング、越境移転の自主評価、データデューデリジェンスなど一段上のサービスまで、専門チームにおいて幅広く対応している。詳しくは、崔文英(cuiwenying@jp.kwm.com)または陳天華(chentianhua@jp.kwm.com)までご連絡いただきたい。
[1] 重要情報インフラとは、情報インフラのうち、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要な業界又は分野におけるもの、その他破壊、機能喪失又はデータ漏洩が生じた場合、国の安全、国の経済と国民の生活、公共の利益に深刻な危害を及ぼすおそれのあるものをいう。
[2]この「国家ネットワーク情報部門が定める数量」について、「ネットワークデータ安全管理条例(意見募集稿)」(2021年11月14日公布)は「100万人以上」と定めている。
[3] 例えばサイバーセキュリティ規程、システム安全操作マニュアル、データ及び個人情報の取扱い規程の起案とその実施の監督、従業員向け安全教育研修の定期的な実施、サイバーセキュリティ及びデータセキュリティの常時モニタリングの実施と緊急対策訓練など
本稿は、みずほ銀行発行のチャイナビジネス(2022年2月号)掲載原稿をもとに加筆修正したものです。
