中国サイバーセキュリティ法の実態、日本企業への影響は？：すご腕アナリスト市場予測（2/4 ページ）

　具体的にはWebサイトをはじめとしたインターネットとそのサービスをサポートするシステム、各種のネットワークや業務用のシステムなどを運営する事業者をネットワーク運営者としており、それ以外にもネットワーク製品やサービスを販売する企業、サイバーセキュリティの認証またはリスク評価サービスを提供する企業がその適用対象となる。

　「ネットワーク運営者」というと、日本ではインターネットプロバイダーや電気通信事業者を思い浮かべるが、それよりかなり広い範囲で多くの企業が含まれると考えられる。さらに「重要情報インフラ運営者」は産業別にみると、エネルギーや輸送、水道関連、金融、公共サービス、電子政府業務、その他の産業が該当することになっており、特に重要情報インフラ運営者はサイバーセキュリティ法の影響を強く受けることになる。

図1 主な対応者と当局対応事項（出典：デロイト）

　また基幹ネットワーク機器や専用ネットワークセキュリティ製品への要求についても示されており、中国国内でこれらの製品を販売、提供するためには、関連する国内規格の必須要件に準拠し、セキュリティ認証または検査を通過させる必要がある。

　現状示された第一回の製品カタログに含まれるのは、基幹ネットワーク機器には「ルーター」「スイッチ」「サーバ（ラックマウント）」「PLC」が、専用ネットワークセキュリティ製品には「バックアップアプライアンス」「ファイアウォール」「WAF」「IDS」「IPS」など11の製品が対象となっている。

　なお、現状ソースコードまでの開示は要求されていないが、バックドアなどの有無はソースコードレベルまで見ていなければいけないケースもあるはずで、これからの運用次第ではソース開示の要求も可能性としては排除できない。

　中国サイバーセキュリティ法では、個人情報の保護における要求についても明記されているが、APECが定めているプライバシー9原則である「被害予防」「通知」「収集制限」「個人情報利用」「選択」「個人情報の完全性」「安全保護」「アクセスと訂正」「責任」に該当する事項が第4章「ネットワーク情報のセキュリティ」にて記されており、それぞれマッピングして考えてみると分かりやすい。

　中でも「収集制限」にあたる第40条では、「市民の個人情報を収集し、使用するために、ネットワーク事業者は正当性、正当性および必要性の原則に従うものとし、提供するサービスと無関係に個人情報を収集してはならない」となっており、個人情報の収集そのものの収集には十分注意する必要がある。

　また、同様に「選択」について40条および41条に記載されており、「ネットワーク事業者は、市民の個人情報を収集して利用するためには、収集されたものの同意を得なければならない」「ネットワーク事業者は、データを収集したものの同意を得ずに、市民の個人情報を他人に提供してはならない」とある。日本同様、個人情報の取り扱いには十分な注意が求められることだろう。