前回の投稿では中国個人情報保護法(以下、PIPL)についてご紹介しました。今回はサイバーセキュリティ法(CSL)についてご紹介しましょう。CSLは、中国のデータ関連法の基礎となる法律です。特に、セキュリティ要件として義務付けられている等級保護認定は対応が重要です。
アリババクラウドは等級保護の要求事項策定メンバーであり、政策・技術に対する深い理解と経験を有しています。この経験を活かし、アリババクラウドは日本企業を含め、中国内外でこれまで数多くの企業に対して等級保護取得のワンストップ・サービスを提供してきました。
CSLが規制する内容は主にセキュリティ対策、個人情報の取扱い、およびデータの越境移転です。
CSLが対象とするのは電子データです。そのため、中国国内でネットワークを運用している事業者はすべて対象となると考えてください。成立から4年を超えた今、当局は積極的に取締りを行っています。
CSLでは事業者を重要インフラ事業者とネットワーク運営者に分け、重要インフラ事業者に厳しい要件が定めています。
重要インフラ事業者とは、その名の通り、国にとって重要性の高いインフラを取扱っている事業者を指します。例えば電力や水道のライフライン等、破壊されたり機能しなくなったりデータが漏洩したりした場合に、国家安全保障・国家経済および公共の利益に深刻な打撃を与えるおそれのあるものを扱っていれば重要インフラ事業者とみなされます。
ネットワーク運営者とは、中国で情報システムを保有し、運営する全ての組織・企業を指します。ここでいう情報システムには自社システムも含まれるのでご注意ください。
CSLのセキュリティ要求事項である等級保護は、中国国内でネットワークを運用する事業者のリスク度合いに応じて適合が求められる国家としてのセキュリティ要件を定めたものです。リスクの低いものから高いものへと、一級から五級までに分類されています。一般的な企業であれば通常、一級から三級のいずれかに分類されます。
等級保護二級以上は評価機関による認定が必要となり、二級であれば二年に一度の更新、三級であれば毎年の更新が要求されます。
等級保護の各等級における要求事項は国家標準である「GB/T28448-2019信息安全技术网络安全等级保护测评要求」で定められています。
CSLにはデータの国内保存義務と越境移転規制があります。
電子データの国内保存義務は、CSLでは重要インフラ事業者の義務として定められていますが、その下位規定である「个人信息和重要数据出境安全评估办法(征求意见稿)」ではネットワーク事業者に対しても要求されています。
越境移転に関しては、2021年10月に「数据出境安全评估办法(征求意见稿)」が出ており、データ越境移転のセキュリティ要件が具体化してきました。これによると、次のようなデータに関しては越境移転についてのセキュリティ評価を実施するといわれています。
・重要情報インフラ運営者が収集・生成する個人情報や重要なデータ
・移転するデータに重要なデータが含まれている場合
・100万人に達する個人情報を取り扱う個人情報処理業者で、中国国外に向けて個人情報を提供する場合
・外国への個人情報の累計提供数が10万人以上、またはセンシティブな個人情報の累計提供数が1万人以上となる場合
評価は事業者の自己評価と当局によるセキュリティ評価の二段階から成っています。ここではスペースの都合上、自己評価で確認すべき内容のみをご紹介します。先のガイドライン草案によると、自己評価では以下の点を確認しなければなりません。
・データ移転の合法性、正当性および必要性、ならびに海外の受取人によるデータ処理の目的、範囲および方法
・国外へのデータ移転や外国の受領者の、データ処理の目的、範囲および方法の合法性、妥当性および必要性
・移転されるデータ量、範囲、種類、およびセンシティブ度合い、およびデータ移転が国家安全保障、公共の利益、および個人または組織の合法的な権利と利益に及ぼすリスク
・データ移転プロセスにおける情報処理者の管理上および技術上の対策と能力が、データの漏洩や破壊などのリスクを防止できるかどうか
・外国の受領者が負う責任と義務、およびその責任と義務を果たすための組織的措置や技術的措置と能力が、外国に出るデータのセキュリティを保証できるか
・移転後、再移転後のデータの漏洩、破壊、改ざん、誤用等のリスク
・個人が個人情報に対する自身の権利・利益を確保するための手段が明確か
・外国の受領者と締結したデータ移転関連契約において、データ・セキュリティ保護の責任と義務が適切に合意されているか
日本でも改正個人情報保護法の影響でデータ・フローについての視線が厳しくなっていますが、同様の傾向が中国でも見られることがわかります。データ・フローの管理は、現在、グローバルな関心事項と言ってもよいでしょう。
アリババクラウドはMLPS 2.0 コンプライアンス・サービスをご提供しています。このサービスは、審査機関と協議を行ったうえで、等級の決定から審査資料の準備、認定取得までをワンストップでサポートするという優れたサービスです。コンサルティング・フィーは、事前見積りで審査料を含めて確定するため、コンサルティング・サービスを利用した際に発生しがちな超過費用が発生することもありません。アリババクラウド製品を利用すれば、IaaSとして等級保護取得済みであるため、審査項目を大幅に削除することができ、審査も迅速に行えます。
ご紹介したサービスについて詳しいご説明をご希望の方は、お気軽に担当の営業にお申し付けください。
アリババクラウドでは、これまでさまざまな形で情報をご提供してきました。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問いただければ幸いです。
セキュリティセンター
サーバーへの脅威や脆弱性をモニタリング
https://www.alibabacloud.com/ja/product/security-center
Bastion Host
サーバーの運用保守の安全性強化、監査のための踏み台サーバー
アリババクラウドは世界25リージョン、80アベイラビリティゾーンを提供する、アジア太平洋地域第一位、世界第三位*のパブリッククラウドサービス事業者です。
2020年度には、フォーチュン500企業の38%がアリババクラウドをご利用いただいています。
また、アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認定を取得しています。
アリババクラウドのセキュリティとコンプライアンスについては、アリババクラウドTrust Centerにて詳細な情報を提供しております。
https://www.alibabacloud.com/ja/trust-center/japan
(*Gartner Market Share: IT Services, Asia Pacific, WorldWide 2020)
7 posts | 0 followers
FollowAlibaba Cloud Japan Compliance - November 18, 2021
Alibaba Cloud Japan Compliance - November 4, 2021
Alibaba Cloud Japan Compliance - December 1, 2021
Alibaba Cloud Japan Compliance - May 24, 2022
Alibaba Cloud Japan Compliance - October 27, 2021
Alibaba Cloud Japan Compliance - October 29, 2021
7 posts | 0 followers
FollowAn enterprise-level continuous delivery tool.
Learn MoreAlibaba Cloud DNS PrivateZone is a Virtual Private Cloud-based (VPC) domain name system (DNS) service for Alibaba Cloud users.
Learn MoreBuild your cloud drive to store, share, and manage photos and files online for your enterprise customers
Learn More