CSL (Cybersecurity Law、サイバーセキュリティ法) は、中国で初めてのデジタルプライバシーとセキュリティに関する包括的な規制であり、2016年11月7日に可決され、2017年6月1日から施行されています。それ以来、法の特定のセクションに関連して散発的な動きが見られたものの、残りについてはあまり一貫した取り扱いがなされているようには見えません。
いずれにせよ、CSL は、中国で事業を展開する国内外の幅広い企業に大規模な新しい要件を課し、罰金や懲役刑など、コンプライアンス違反に対する大きな罰則を設定しています。このブログでは、CSL に関するよくある質問のいくつかに答え、コンプライアンスの目標をできるだけ明確にしたいと思います。
CSLを遵守する必要があるのは誰ですか?
公的なサイトに書かれた言葉を参考にすると、CSL は、中国が「ネットワーク事業者」と呼ぶ企業、および「重要情報インフラストラクチャ(Critical Information Infrastructure、CII)」の事業者に適用されます。「ネットワーク事業者」という用語は、「ネットワークの所有者、事業者、およびサービスプロバイダ」と定義され、サービスを提供している、またはコンピュータネットワークを介して事業を運営しているほぼすべての企業を含むと解釈できます。
CII の事業者の定義も同様に広く、電気通信分野の企業、ラジオ、テレビ、および重要と見なされるあらゆるインフラストラクチャの事業者を含みます。重要なインフラストラクチャとは、「それが破壊されたり、機能を失ったり、データ漏洩の被害に遭ったりすると、国民経済と国民の生活および公共の利益が損なわれる」ものです。
端的に言えば、中国でオンラインでの事業を運営している企業は、CSL を遵守する必要があるということです。
GDPRに準拠していれば中国のCSLにも準拠していると考えていいですか?
短い答えは「いいえ」です。データのローカライゼーションやセキュリティ担当者の指定など、CSL の要件のいくつかはEUの一般データ保護規則(GDPR)と似通っているかもしれませんが、2つの法律は実際には非常に異なっています。GDPR コンプライアンスのための対処をしていれば CSL にも準拠していると見なされるべきではありません。
CSL は GDPR ほど包括的ではないものの、GDPR よりも広範に適用されます。ちょっとわかりづらいですが。基本的に、CSL はそれほど規範的ではなく、どの会社が準拠しなければならないか、そして正確にはどうすることがコンプライアンスを満たすことになるのかに関する決定を執行機関がかなりの裁量の幅を持って下せるようにみえます。これは中国に進出している外国企業にとっては厄介なことになり得ます。法の施行から2年後の現在でも、不明瞭な部分が残されています。
データローカライゼーションの要件はありますか?
GDPR と同様、CSL にもデータローカライゼーション要件がありますが、使われている言葉ははるかに曖昧です。CSL のもとでは、中国でCII事業者あるいはネットワーク事業者によって収集、生成された「個人情報」または「重要なデータ」はすべて中国に保存する必要があります。これは中国市民のデータを海外に保管しないことを意味します。
しかし、データ・エクスポートの必要性を証明することができ、かつデータが安全に取り扱われることを証明する安全アセスメントに合格すれば、個人データや重要なデータを海外に転送することは可能です。つまり、まずデータ転送が「必要かつ合法的」であることを証明してから、転送自体に関連するリスクを評価するこということです。
リスク評価を自己管理するための規定はあるものの、中国当局によってリモートか現場で行われる可能性がより高いです。どちらの場合でも、そのためのプロセスには時間がかかることが予想されるため、どんな状況でもデータローカライゼーションの要件を満たすことがベストです。
セキュリティ要件はどういうものですか?
CSL には、セキュリティ要件の長いリストもあり、その一部は GDPR のものによく似ていますが、GDPR ほど厳密で規範的な表現で書かれてはいません。CSLの第21条によると、規制の対象となる企業は、ネットワークセキュリティの担当者を任命し、中国政府が設定したネットワークセキュリティガイドラインに従ってセキュリティプロトコルを実装する必要があります。
企業はまた、サイバー攻撃を防止、調査、回避するための技術的対策を講じなければなりません。ガイドライン案によると、これらの技術的対策には、パスワード保護、暗号化、および侵入防止が含まれます。また、個人情報を保存するすべてのシステムやデバイスが少なくとも2つの認証方法を使用することも求められています。
そして、CSL はセキュリティ問題の報告手続きを確立することも要求しています。
プライバシー要件は何ですか?
CSL は、データのセキュリティだけでなく、収集されるデータの種類とデータの収集方法にも関心を寄せます。個人情報を収集する前に同意を得るという要件を含む、一連のプライバシー要件を定めています。
収集される情報はビジネスのサービスに関連していなければならず、情報を収集する目的、収集する方法、そしてデータ使用の範囲を明示しなければなりません。
GDPR の「消去の権利」と同様の規定で、CSL はネットワーク事業者に、要求があった場合にユーザーの個人データを削除または変更するよう求めています。
CSL ではデータ侵害があった場合に、影響を受ける個人と関連する政府部門の両方に通知するべきであるとの要件も規定しています。
コンテンツを検閲する必要がありますか?
パラドックス的ではありますが、CSL は、監視に関しては、ユーザーのプライバシー権にそれほど関心を寄せてはいません。
CSL の第47条によると、ネットワーク事業者は、「法律または行政規則によって公表または送信されることが禁止されている」情報について、ユーザーが開示した情報を監視する必要があります。
もしそのような情報が発見されたら、ネットワーク事業者はその情報を削除し、記録を保管し、違法なコンテンツを当局に報告することを求められます。
CSL はどのように適用されますか?
中国の中央インターネット規制機関として、中国サイバースペース管理局(Cyberspace Administration of China、CAC)が CSL の監督と執行を担当する主要機関です。法律が施行されて以来、CAC は主に上記のようなユーザーコンテンツの監視に焦点を当ててきました。
CAC は、Alibaba Cloud や Taobao を含むいくつかの大手テクノロジー企業に対して、すでに「禁止された情報の拡散を防止するための措置を講じなかったこと」などを理由に制裁金を科しています。
地方レベルでは、中国の公安局(Public Security Bureaus、PSB)、すなわち地方警察が、最近、法の執行権限を与えられました。これは、PSB が、ネットワーク事業者、ISP、データセンター、ドメインネームサービス、インターネット情報サービスなど、幅広い事業体 - 基本的には「ネットワークを使用するエンティティ」として登録されているすべての検査を実施することができることを意味します。
PSB には、規制対象企業の施設だけでなく、そのネットワークも検査する権限が与えられています。検査は、現場ででもリモートででも実施できます。検査プロセスには、文書のレビューとコピー、会社の担当者へのインタビュー、サイバーセキュリティ保護対策の検査が含まれます。
規制は表現が広義に解釈できるので、PSB には、どの会社が規制の対象であるかや、検査の時期と範囲を決定するのにかなりの裁量の幅があります。
コンプライアンス違反に対する罰則は何ですか?
CSL は、遵守できない企業に対する運営上のペナルティと、コンプライアンス違反企業への罰金と刑事罰を規定しています。第66条によると、データローカライゼーションに違反した企業は、およそ7,500〜75,000米ドルの罰金が科せられる可能性があります。コンプライアンス違反を犯した企業で直接的な責任がある担当者にも、罰金が科せられたり、場合によっては法律の特定の部分に違反したとして最大15日間の懲役刑が科される可能性もあります。
さらに、CAC は Web サイトを閉鎖したり、業務ライセンスや許可を取り消したりして、中国で事業を行うことを効果的に阻止する権利を留保します。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.