サイバーセキュリティ法対応は
まだ様子見で良いと考えていませんか?
公安部インターネット安全保護局を中心に
取り締まり主体が拡大中
- 1026法人が処罰(2021年3月時点 報道・公開されたもののみ)
- 罰金(最高額):79万元(約1350万円)
- 行政拘留:29人
- 業務停止:17件
日本企業も例外ではありません!
-
事例1
大手日系メーカーセキュリティインシデント発生後、公安部による調査が行われ等級保護申請不備が発覚。罰則の適用を受ける
-
事例2
大手日系消費者チェーン店中国国内で展開していたアプリの個人情報取得が不正に行われていたことが発覚。業務改善命令を受ける
-
事例3
大手日系メーカー突如公安より呼び出しがあり、3か月以内に等級保護取得を命じられる
「うちには顧問弁護士がいるから大丈夫」!?
技術分野についての的確な助言は、得られないかもしれません
法律=弁護士事務所というのは必ずしも正しい姿ではありません
弁護士事務所が主に助言を行うのは非技術分野が中心です。圧力容器関連法、車の型式認証、機械の安全性認証といった技術系の法律分野では弁護士事務所は助言を提供していないことが大半です。弁護士事務所の不得意な領域は、コンサルタントや業界プレーヤーに問い合わせる必要があります。サイバーセキュリティ法の等級保護についてのアドバイスはコンサルタントや業界プレーヤーしかわかりません
-
大手日系企業が当サービスを利用しています
※レファレンス企業名は口頭でのお伝えのみとなります
-
建付けは自由自在です
当社との直接契約が難しい場合は、アリババクラウド様や日系コンサルティング企業を通じた契約も可能です
-
日本国内から日本語でサイバーセキュリティ法対応ができます
「中国支社ではなく、管理体制等を考えると日本本社で対応したい」というニーズに応えられます
-
認証取得までが早い
提携チームが中国ですでに2年以上サービス展開をしているため、認証機関との意思疎通がはかれ、書類作成のノウハウや必要な対策のセットがすべてそろっています
さらに提携チームは、等級保護の認証基準策定にも関わっているため、認証のポイントも抑えています
対応責任者
寺川 貴也(Takaya Terakawa)
テクニカ・ゼン株式会社 CEO
CIPP/E、CIPM、ISMS審査員補
プライバシー、セキュリティ、ガバナンスについてのコンサルタント。グローバル・メーカーでの法令規格対応及びリスク・マネジメントを経験後、認証機関で認証業務の実務を経験を積み、2015年会社設立
2017年からプライバシー対応を中心にリスク・マネジメントを軸としたコンサルティングを提供してきた
子どものオンラインでの安全をライフワークの一つとし、CyberSafety Japanのカントリー・マネージャーも務める
近著「プライバシー・マネジメント入門」(2021, 情報機構)
FAQ
-
Q:中国サイバーセキュリティ法とは?
A:2017年6月に施行された中国のデータ保護に関する基本法(ベースとなる法律)です。中国に拠点がある企業であれば通常社内ネットワークを構築するため、ほぼすべての企業が適用を受けます。データを中国国内に保管するよう要求されるケースや越境移転規制がある他、サイバーセキュリティ法に適合した機器の使用が義務付けられているため、技術的な面から数多くの対応を行う必要があります。サイバーセキュリティ法では企業は等級保護2認証の取得を求められており、この等級保護の取得が中国国内法コンプライアンス対応の基礎となっています
-
Q:等級保護(MLPS)2.0とは?
A:サイバーセキュリティ法では運営するネットワークのリスク程度に応じて等級保護認証を取得しなければなりません。等級保護はリスクに応じて1級から4級に分類されていますが、通常社内ネットワークを持つ企業であれば2級に分類されることが多いと言われています
-
Q:中国個人情報保護法とは?
A:中国における個人情報保護規制はサイバーセキュリティ法や民法典等複数の法律で別個に触れられていました。しかし、2020年10月に中国初の統一的な規定として中国個人情報保護法の草案(ドラフト)が公布されました。現在はまだ草案(ドラフト)ですが、2021年6月ごろに施行される見込みです。サイバーセキュリティ―法をベースとしているため、安全保護策として等級保護認証取得を前提として構成されています。全体的にGDPRと似た要求事項も多いため、GDPR対応を済ませた企業であれば相違点を整理して効率よく対応を進めることがコンプライアンスの近道となります。ただし、データの分類要求や個別同意の要求等独特の要求事項については中国としての対応が必要となるでしょう
-
Q:中国にデータを保存すると危ない?
A:残念ながらこれは国家であれば民主主義国家も共産主義国家も、国内のデータにアクセスする可能性はあります。アメリカと欧州の間で締結されていたプライバシー・シールドは、アメリカ政府によるデータ・アクセスに対する懸念から無効化されました。その一方でEU加盟国がデータへのアクセス権限を強めようとする動きも出ています。このような状況の中、どこに保存していても「危ない」と理解されておく方がよいでしょう。現在ではデータ保管時に暗号化を施すことが最善の防御策といえそうです
クラウド・サービスの場合、クラウド・サービス提供会社の技術者が顧客データにアクセスする場合は踏み台サーバーを経由してアクセスします。踏み台サーバーにはすべてのログが記録されるため、仕組みとして無断で顧客データにアクセスすることができないようになっています。クラウド・サービス提供業者はデータ・センターごとに設置されている国の法律に準拠して運営を行います。仮に政府要請による外国データセンターへのアクセス要求があった場合は、国際協定に基づいてアクセスの許可の付与が協議され合意された場合にのみ付与されるため、クラウド・サービスが独断でアクセス許可を行うことはありません。その意味では、中国のクラウド・サービス提供業者が危険ということはないといって差し支えありません
-
Q:アリババクラウド(Alibaba Cloud)とは?
A:アリババクラウドは日本を含むアジア太平洋地域でNo.1のシェアを誇るクラウド・サービスです。世界においてもAWS、Asureに次いでNo.3の地位を得ています。中国においてはプロダクト数、性能共にNo.1と認められ、43%もの市場シェアを占めています。アジア太平洋地域に16のデータセンターを持ち、特にインドネシア、マレーシアでは数少ないパブリック・クラウド・プロバイダーです。アリババクラウドの凄みは、中国最大のオンライン・セールの日である独身の日を止めない技術力でしょう。独身の日には、ピーク時の注文数が58.3万件/秒、商品の配送数は23.2億個に上ります。独身の日には2000回以上のDDoS攻撃が加えられるといいますが、セールと並行してピーク時トラフィックが1TB以上となるようなDDoS攻撃を分散処理して回避してしまったといいます。これを支えているのがアリババ・クラウドの技術です。しかも、価格も他社と比べると安い。アリババ・クラウドは、企業にとってアジア太平洋地域でビジネスをする上ではファーストチョイスとなるでしょう