中国のセキュリティ等級保護制度の概要と注意点

近年、世界中で多くのサイバー犯罪やセキュリティンシデントの発⽣など、サイバーセキュリティのリスクが⾼まっている。8億⼈以上のネットユーザーを抱えるネットワーク⼤国である中国では、政府がサイバーセキュリティを国家戦略レベルに引き上げることを目的に『中華⼈⺠共和国サイバーセキュリティ法（以下「サイバーセキュリティ法」と表記）』を2017年6⽉に施⾏した。
サイバーセキュリティ法は2014年の⽴法動議から短期間で施⾏に⾄ったため、関連する国家標準や条例、ガイドラインなどの⼀部が意⾒募集中であるなど、内容が確定していない状態である⼀⽅、既に執⾏事例が出ているものもある。それがセキュリティ等級保護制度だ。

セキュリティ等級保護制度とは、サイバーセキュリティ法の第21条に規定され、国家サイバーセキュリティにおける基本制度に位置付けられる。セキュリティ等級保護制度において、中国本⼟に拠点を持つ企業などは、保有する情報ネットワークシステムに対してインシデントなどの発⽣により損害を被る客体（対象）と、その損害の程度に基づき等級を設定し、設定された等級に応じたセキュリティ対策を実装する必要がある。また、等級を2級以上と判定した場合は、当該ネットワークシステムについて公安機関へ届け出て、セキュリティ要件の充⾜について第三者評価機関による審査を受けることが必要となっている。

セキュリティ等級保護制度は、サイバーセキュリティ法の施⾏以前より存在している制度であるため、等級を設定していない、等級に応じたセキュリティ対策を実装していないなどの理由により、既に多くの企業に対する処罰事例が発⽣しており、⽇系企業も含まれている。さらに2019年5⽉には、実装すべきセキュリティ要件の範囲がクラウドやIoT、モバイルコンピューティングといった分野にまで拡⼤された「等級保護2・0」と呼ばれる国家標準が最終化され、2019年12⽉1⽇より適⽤開始される予定である（※本稿は、2019年8月に執筆）。中国本⼟に⼦会社や事業所を持つ⽇本企業は、セキュリティ等級保護制度への対応を開始するために、まずは当該⼦会社や事業所で保有する情報システムの棚卸しから着⼿し、計画的に対応を進める必要がある。

日刊工業新聞 2019年8月6日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
ディレクター　宮原 潤