中国の重要情報インフラ事業者に義務付けられたセキュリティ保護措置

「中華人民共和国サイバーセキュリティ法」（以下『サイバーセキュリティ法』と表記）には、セキュリティ等級保護制度（第7回で紹介）、個⼈情報保護と越境移転規制（第8回で紹介）の他にも、中国本土に子会社や事業所を持つ日本企業が対応すべき要件がある。重要情報インフラ事業者の義務への対応だ。
サイバーセキュリティ法では、情報システムの破壊やデータ漏えい時に、特に重大な影響を及ぼす可能性のある情報インフラを「重要情報インフラ」と定義し、運用管理者に対して特別なセキュリティ保護措置を義務付けている。
「重要情報インフラセキュリティ保護条例（意見募集稿）」に定められる重要情報インフラ事業者には、中国に進出している日本企業でも金融機関や運輸業、製薬業、インターネット業などが該当する可能性がある。
重要情報インフラ事業者の義務として挙げられるセキュリティ保護措置は多岐にわたる。

管理面における保護措置では、（1）重要情報インフラの安全性および潜在リスクの年次評価の実施および特定された問題の是正と主管部門または監督部門への報告（2）内部管理制度およびオペレーション規定の確立と身分証明および権限管理の厳格な実施（3）ネットワークセキュリティ専門管理組織の確⽴とネットワークセキュリティ管理責任者の設置（4）責任者および重要職位者に対するセキュリティバックグラウンドの調査（5）実務担当者に対する定期的なネットワークセキュリティ教育・技術研修およびスキルアセスメントの実施（6）セキュリティインシデントに関する定期的な対応訓練の実施―などが挙げられている。
一方、技術面における保護措置では、（1）コンピューターウイルスおよびネットワーク攻撃等に対する技術的措置の実施（2）ネットワークの運用状況およびセキュリティインシデントに関する監視とログの記録とネットワークログの6カ月以上の保存（3）データの分類および重要データに対するバックアップの取得と暗号化―などが挙げられている。

その他、前回解説した越境移転規制も重要情報インフラ事業者の場合に該当し、中国国内において収集または生成した個人情報は中国国内での保管が義務付けられている。
ここまで3回にわたって解説した通り、サイバーセキュリティ法は要求事項が多岐にわたっているものの、個々の事項で対応が困難なものは少ない。丁寧に対応を積み重ねていけば決して対応の難易度は高くない。日本企業は、まず、中国本土における子会社や事業所の現状把握に着手し、早期に等級保護評価から対応を開始する必要がある。
また日本企業は総じて面倒な対応であっても目をそらさず、現地の子会社などに対して適切な指導と支援をすることが望まれる。

サービス：
政府機関、エネルギー、金融、交通、水利、衛生医療、教育、社会保障、環境保護、公共サービス

ネットワーク：
通信ネットワーク、ラジオおよびテレビネットワーク、インターネット、クラウド、ビッグデータおよびその他の公共大型情報ネットワーク

科学技術：
国防科学技術、大型機器、化学、食品、医薬品

マスコミ：
ラジオ局、テレビ局、報道機関

日刊工業新聞 2019年9月3日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
ディレクター　宮原 潤