中国サイバーセキュリティ法の実態、日本企業への影響は？：すご腕アナリスト市場予測（4/4 ページ）

[薛 梓源，デロイト中国]

企業がとるべき対策とフレームワーク

　では、この中国サイバーセキュリティ法が要求する事項については、どのようなフレームワークで対応を進めていけばいいのだろうか。そもそもこの法律で要求されているのは、第3章にあたる「ネットワーク運用の安全」に対する要求をはじめ、第4章の「ネットワーク情報の安全」に対する要求、そして第5章の「監視・早期警戒と緊急対応処理」に対する要求の3つに分類することができる。

　「ネットワーク運用の安全」に対する要求には、セキュリティに関する規定やプロセスの定義をはじめ、組織や人材に関する体制づくり、セキュリティ監視やデータバックアップなどのセキュリティ活動に関するもので、さらに重要情報インフラ運営者にはネットワーク設備の安全や重要データおよび個人情報の国外移転にかかわる評価などの要求も含まれている。

　そして「ネットワーク情報の安全」に対する要求には、個人情報保護に関する収集や使用、漏えい防止措置などをはじめ、情報開示にかかわる管理や応用といったコンプライアンス要求が含まれている。「監視・早期警戒と緊急対応処理」に対する要求については、サイバーセキュリティ監視や早期警戒をはじめ、事件に対する緊急対応策などの計画や教育などが要求されている。

　これらサイバーセキュリティに対するコンプライアンスフレームワークとして、デロイトでは以下のようなものをフレームワークとして提唱している。前述した通り、サイバーセキュリティ法のみならず、規定や規制に加え、各領域の特定分野への適用に関しては、サイバーセキュリティ分類保護技術基準およびその他の関連基準を参照していく必要がある。

図3 サイバーセキュリティのコンプライアンスフレームワーク（出典：デロイト）

　これらのフレームワークを駆使して中国における法令を順守するためのアクションを早急に起こしていくことが本来であれば必要だが、中国企業の中でもサイバーセキュリティに関する組織と職責の定義が不明確であったり、データの国外への移転リスクへの評価が不十分であったりなど、実際の要求との間に多くのギャップが指摘されているのが正直なところだ。

　該当するビジネスを中国で展開する日本企業においても、サイバーセキュリティ法に関するコンプライアンス対応準備などの短期的なアクションから、実際の評価および企業の全体的統制フレームワークに融合させるといった中長期的なアクションまでを十分検討し、最終的にはコンプライアンス管理活動をガバナンスの枠組みに統合させていく検討を今すぐ始めるべきだろう。

　一部では、中国当局におけるインターネット領域への介入を強めるための法律だとみる向きもあるが、実際には既にグローバルでは存在しているサイバーセキュリティの考え方に倣って、中国の国家安全保障と公益の改善を目的に作られたのが中国サイバーセキュリティ法という位置付けだともいえる。