トップ >コラム&リポート> 【19-016】中国「サイバーセキュリティ審査弁法(意見募集稿)」が公布

【19-016】中国「サイバーセキュリティ審査弁法(意見募集稿)」が公布

2019年7月3日

柳 陽(Liu Yang):中国弁護士

 中国弁護士。北京大学卒、慶應義塾大学法学修士。日本企業の中国進出、M&A、事業再編、撤退、労務紛争、一般企業法務等の中国法業務全般を取り扱う。

 2019年5月24日、中国の国家インターネット情報弁公室は「サイバーセキュリティ審査弁法(意見募集案)」(以下「本弁法」という。)を公布し、同年6月24日まで、意見募集を行った。本弁法は公布とほぼ同時に英文版も公表されている。本弁法の公布及び英語版の公表は、米中貿易戦の最中において、米国が「Executive Order on Securing the Information and Communications Technology and Services Supply Chain」を公布した後に行われたものであり、中国国内外を問わず大きなインパクトを与えるものと評されている。

 本弁法は、2017年6月1日付で施行された「サイバーセキュリティ法」の規定を踏まえる形を取っており、同日より施行されている「ネットワーク製品・サービスセキュリティ審査弁法(試行)」(以下「2017年弁法」という。)を代替することになる。

1.立法趣旨

 本来、「サイバーセキュリティ法」は、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務等の重要分野に加えて、「破壊を受け、機能を喪失し、またはデータの漏えいが発生した場合に、国の安全、民衆の生活、公共利益に重大な危険をもたらす可能性がある」分野における重要情報インフラ(同法31条)の運営者を、重要情報インフラ運営者として様々な規制を課している。その中には、重要情報インフラ運営者が、国家安全と公共利益にかかわるようなネットワーク製品・サービスを調達する際に、セキュリティ審査を行うことを義務づける規制も含まれている(同法第35条)。

 このようにセキュリティ審査を義務づける背景として、中国政府が、一部の民間企業や機関が、技術上の優位性等を利用して中国国内において無断で情報を収集したり、中国の政府部門や国内企業、大学等のネットワークに無断で侵入したりする等のリスクを防ぐべきであるという政策判断が存在すると思われる。本弁法は、以下で説明するとおり、かかるセキュリティ審査について具体的に規定を設けている。

 本弁法は、2017年弁法と比べて、サイバーセキュリティ審査制度についてより全面的・明確に規定するだけでなく、その内容もセキュリティ審査の対象、方針、主管部門、発動要件、評価要素、手続等の多方面に亘っている。

2.セキュリティ審査の対象

 本弁法第2条は、「サイバーセキュリティ法」第35条の規定を踏襲し、サイバーセキュリティ審査が必要となる「重要情報インフラ運営者がネットワーク製品・サービスを仕入れ、国家の安全に影響を与える、又は影響を与えるおそれがあるもの」の範囲を明確にし、サイバーセキュリティ審査の実施義務を負う者を重要情報インフラ運営者に限定している。

 さらに、本弁法第18条は、重要情報インフラ運営者(以下単に「運営者」という。)の範囲について、重要情報インフラ保護業務部門によって認定された事業者に限定している。2017年弁法と比較して、本弁法の施行によりセキュリティ審査が無制限に拡大する懸念を一定程度払拭できると考えられる。

 しかしながら、サイバーセキュリティ審査の対象については、本弁法においても、「法律、行政法規に他の規定がある場合は、その規定に従う」と規定されており、他の法律、行政法規でもサイバーセキュリティ審査の対象が追加される可能性がある点に留意が必要である。

3.セキュリティ審査の発動

 本弁法は、2種類のサイバーセキュリティ審査の発動方法について規定している。2017年弁法では所管官庁のみがサイバーセキュリティ審査を発動できるが、本弁法は、運営者が自らサイバーセキュリティ審査を申告する規定を新たに取り入れている。

審査の発動方法 適用条件
運営者による自主申告 運営者がネットワーク製品・サービスを仕入れる際に、製品・サービスのリリース後にもたらす潜在的な安全リスクを予測し、安全リスク報告を作成することを義務付け、以下の状況に該当する可能性がある場合には、自らサイバーセキュリティ審査弁公室に対してサイバーセキュリティ審査を申告しなければならない。
  • 重要情報インフラが全体的に運行を停止し、又は主な機能について正常に運行できないとき
  • 大量の個人情報及び重要なデータが漏洩し、紛失、毀損、又は海外へ移転するとき
  • 重要情報インフラの運行維持、技術支持、更新についてサプライチェーンの安全性に脅威があるとき
  • その他、重要情報インフラの安全を著しく害するリスクがあるとき
所管官庁による発動 サイバーセキュリティ審査業務体制メンバー組織(即ち、上記の表に記載された国家インターネット情報弁公室、国家発展改革委員会、工業情報化部等の複数の部門)が、ネットワーク製品・サービスの仕入れ活動、情報技術サービス活動が国家安全に影響を与える又は影響を与えるおそれがあると認めた場合には、サイバーセキュリティ審査弁公室は手続に従って中央サイバーセキュリティ・情報化委員会に報告して審査を求める。

4.セキュリティ審査の手続

 本弁法では、サイバーセキュリティ審査の手続を明確化している。具体的には、サイバーセキュリティ審査弁公室、サイバーセキュリティ審査業務体制メンバー組織、中央サイバーセキュリティ・情報化委員会による三段階の審査体制が構成される。すなわち、サイバーセキュリティ審査弁公室がサイバーセキュリティ審査を受理した後、30営業日以内に初期審査を完成しなければならず、状況が複雑である場合に15営業日を延長することができる(本弁法第9条)。なお、インターネットセキュリティ審査に参加した人員は、審査中に知り得た情報等に対して秘密保持義務を負い、審査以外の目的に使用してはならない旨も規定されている(本弁法第15条)。

  • <手続の所要時間>サイバーセキュリティ審査弁公室による初動審査:30営業日(さらに15営業日まで延長することが可能)
  • サイバーセキュリティ審査業務体制メンバー組織による初動審査意見への回答:15営業日
  • 特別審査:原則として45営業日(延長可能)

5.セキュリティ審査の評価要素

 本弁法の立法趣旨として、重要情報インフラの安全管理水準を高め、国家の安全を維持することと規定されている(本弁法第1条)。また、製品・サービスの提供者は、製品・サービスを提供する利便性を利用して、ユーザーのデータを違法に取得すること、ユーザーの設備を違法に管理・操作すること、ユーザーによる製品・サービスへの依存性を利用して不正な利益を得ること、ユーザーに更新等を強制することが禁じられている(本弁法第18条)。

 サイバーセキュリティ審査において国家安全リスクを評価する際に考慮される主要要素として、以下の7要素が規定されており(本弁法第10条)、2017年弁法と比べて、評価要素がより全面的であると評価されている。

  • 重要情報インフラの継続的な安全かつ安定した運用への影響
  • 個人情報と重要なデータの安全
  • 製品・サービスの管理性、透明性及びサプライチェーンの安全
  • 防衛軍事、重要情報インフラ関連の技術と産業への影響
  • 製品・サービス提供者による法律及び行政法規の遵守状況
  • 外国政府による製品・サービス提供者への補助金および管理等の要素
  • その他、重要情報インフラ及び国家の安全を害するおそれのある要素

6.まとめ

 上述したとおり、本弁法は、概して2017年弁法と比べて、サイバーセキュリティ審査制度の適用範囲を明確化、限定し、また、サイバーセキュリティ審査の手続及び評価要素についても具体的に規定している。今後の実務において、本弁法がどのように具体的に適用されるのか、また、関連部門がセキュリティ審査を実施する具体的な基準及び関連する法執行の状況について、引き続き注目すべきであろう。

以上