「データ保護規制の最前線」第4回目。
中国のデータ法規制の強化により、日本企業に求められる新たな対応策について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
中国データ統制と日本企業への影響
2017年の「中華人民共和国サイバーセキュリティ法」施行以降、中国がデータ統制に関する法整備を活発化している。2021年9月には「サイバーセキュリティ法」で対象とするネットワーク上の脅威だけでなく、データ自体のセキュリティ保護にも着眼した「データセキュリティ法」を制定した。11月には、個人の権利や利益を保護する「個人情報保護法」の施行も予定している(執筆当時:2021年10月)。
中国データ統制三法は着目点が異なるため、規制を受ける対象も異なる。これらの規制対象に該当する企業であれば、中国域内にある企業のみならず、日本企業の本社でも法の適用を受ける可能性がある。多くの企業は、三法令の規制対象の役割を同時に担っているため、おのおのの法で定められた要求事項のすべてに対応する必要がある。だが、要求事項には共通点が多いため、重複を排除しながら同時に対応を進めることが効率的である。
さらに「サイバーセキュリティ法」「データセキュリティ法」は、中国の国益の観点から重要な事業を運営している企業、または機微性の高いデータを処理している企業に対し、一層厳格な管理を求めている。日本企業は直接的な適用を受けないとしても、対象企業に製品やサービスを提供するサプライヤーである場合は、顧客からの要望で厳格な規制への対応を求められることになる。
中国データ統制三法には、欧米系の多国籍企業が先行して対策を進めているとみられる。背景には先行して施行された「サイバーセキュリティ法」に基づく行政指導や摘発の増加傾向があり、日本企業の中国拠点に関する指摘事例も散見される。法令に違反した場合には多額な制裁金だけでなく、営業停止命令や責任者の処分などを受ける可能性もあり、事業に大きな影響が出ることが予想される。
企業は「サイバーセキュリティ法」で重視されるシステムを重要性に応じてレベル分けし、セキュリティ対策を講じる「等級保護制度2.0」への対応はもとより、「データセキュリティ法」によって中国から日本に送信するデータ越境移転のリスクも高まっている。このため、中国域外に移転しているデータの洗い出しとリスク分析も早急に進めなければならない。
個人情報保護法の施行に備えて、個人情報保護対策の強化も喫緊の課題である。中国と取引のあるすべての拠点が影響を受けることを念頭に、グローバルのセキュリティルール整備の際には中国データ統制三法の要件も視野に入れて検討していく必要がある。
執筆者
KPMGコンサルティング
シニアコンサルタント 夏 天暉
日刊工業新聞 2021年10月29日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。