中国のサイバー監視局がデータ管理規則の新草案を発表:中国で事業を展開していなくても新規則を遵守しなければならない

news

中国のサイバーセキュリティ監視機関である中国サイバースペース管理局は、国家のインターネットデータのセキュリティを保護するための一連の規則案を発表しました。

その中で、中国はデータを国家安全保障、公共の利益、個人のプライバシーに対する重要性に応じて、共通、重要、核心の3つのカテゴリーに分けようとしているようです。

「国家は、個人情報と重要なデータを重点的に保護し、コア・データを厳格に保護する」と規定されており、地域のデータを必要なカテゴリーに分類することは、地域の部門が責任を持って行うと書かれています。

この規則案は何ページにもわたって書かれていますが、正確な詳細は不明な部分が多く、例えば何が国家安全保障上の懸念となるのかは不明である。解説書によると、政府の未発表情報から経済データまで、幅広い範囲の「重要なデータ」が国家安全保障上の懸念事項とみなされる可能性があるという。

この新しい規制は「中華人民共和国の領域内におけるデータ処理活動およびネットワーク・データ・セキュリティの監督・管理に適用される」と草案には書かれており、「中国国内で製品またはサービス」を提供する中国国外の個人や組織にも適用される。

中国国内の個人や組織の行動を分析・評価したり、国内の重要なデータ処理に関与したりする企業は、この新しい規制に拘束されると草案にかかれている。

つまり、Google、Meta、Twitterなどの外資系企業は、中国で事業を展開していなくても新規則を遵守しなければならないということです。

この規制は、サイバーセキュリティにも対応しており、例えばデータ処理業者は、データセキュリティの緊急対応メカニズムを確立することが求められ、それは侵害が発生したときに発動されることになります。

「データ処理業者は、セキュリティインシデントにより個人または組織に損害が発生した場合、セキュリティインシデントチームに通知し、3営業日以内に是正措置が取られたことを保証しなければならない」と規定されています。

セキュリティインシデントが犯罪の疑いがある場合、データ処理者は規定に基づき公安機関に報告しなければならない。

また、重要なデータまたは10万人以上の個人情報を含む大規模な情報漏洩の場合、データ処理業者は事件の発見から8時間以内に市区町村当局に報告し、5営業日以内に事件の原因、結果、改善策に関する報告書を地元のネットワーク部門に提出することが義務付けられています。

この新規則は、2021年12月13日までパブリックコメントを受け付けています。

Comments

タイトルとURLをコピーしました