Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。


「中国のサイバーセキュリティ監視機関が国内人気オンラインサービス10社のプライバシーポリシーの監査計画を発表」(その1)

2017-08-10 20:42:55 | 個人情報保護法制

 中国のサイバーセキュリティ面やプライバシー保護面の国際化・標準化をめぐる関係機関の具体的動きが昨年末以降急速に進んでいる。その1つが先週紹介した米大手ローファームの北京事務所の弁護士 罗嫣 (Yan Luo:ヤン・ロウ)氏の紹介ブログ「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題」である。 

 これと関連し、同氏は7月26日の国営新華社通信にもとづき中国の中央機関が中心となる個人情報保護強化キャンペーン開始計画の概要の紹介記事を載せている。その内容は、中央の規制強化が即民間企業の強化につながるかという疑問、規制対象となるデジタル・マッピングビジネスと個人情報との関係がいまいち理解しがたい点等疑問点があり、同氏の明晰な分析を期待したが、今回はその点は期待外れであった。

  しかし、本ブログで述べるとおり、昨年12月21日同氏は「中国、7つの草案のサイバーセキュリティとデータのプライバシーに関するコメントを求める」というレポートを投稿し、さらに同氏の2017年1月6日付け「中国の個人情報保護に関する国家基準の新案」レポートを読む限り、中国の個人情報保護の法制整備等を踏まえた国際的なITスタンダード化の取組姿勢の意図は間違いない。(筆者注1) 

 今回のブログは、まず2016年12月レポートと2017年1月レポートの内容を概観したうえで、7月26日新華社通信の記事内容を見る。 

 国家リード型経済を進める中国が、短時間に欧米レベルの達すべくいかなる展開を見せるか、わが国としてもビジネス面の深い関係があるがゆえに見逃せない重要な課題と考える。

 また、言うまでもないが今回監査対象となる中国企業のほとんどは無料インスタントメッセンジャーアプリやソーシャルメディア等企業であり、その多くは日本法人があり、わが国国民の多くがユーザーでもあることから、これらの規制内容の正確な理解は極めて重要といえる。 (筆者注2)(なお、本ブログで引用する主要情報IT企業につき、中国の大学の日本語教師がまとめた「中国の【無料アプリ】中国で役立つもの厳選8 」は簡単なものであるが、中国の日常生活には十分参考にしうると思われる内容である) 

 これに関し、2017年7月27日に改定したAMAP(高德地图)のプライバシーポリシー(筆者注3)の内容は、他の大手ソ―シャルメディアに比してきわめて大部、かつ専門的、精緻な内容と思われるため、おそらく中国のサイバースペース管理局(CAC)等のプライバシーポリシー監査でも一定の評価が出てくるであろう。その監査結果は9月以降、米国ローファーム等で取り上げられるであろうことから、改めて本ブログで取り上げたい。その意味で今回のブログで最後に附則として長文ではあるがあえてほぼ全文の仮訳を行った。

  今回は6回に分けて掲載する。 

1.中国はサイバーセキュリティとデータのプライバシーに関する7つの草案につきパブリック・コメントを求める

 20161221「中国はサイバーセキュリティとデータのプライバシー保護に関する7つの草案につき意見を公募」というInside Privacyの解説記事を仮訳する。筆者はティモシーP.ストラットフォード(Timothy P. Stratford )とヤン・ロウ(Yan Luo)である。 

 中国標準化管理局(国家标准化管理委员会:SACと中国のサイバースペース管理局(CAC)が共同で監修した標準化委員会である中国の国家情報セキュリティ標準化委員会(全国信息安全标准化技术委员会 NISSTC:Chinas National Information Security Standardization Technical Committeeは、20161221日にパブリックコメントによりサイバーセキュリティとデータのプライバシーを保護する旨告示した。パブリックコメント期間は、201722日までであった。

 これらの新しい基準草案の内容は次のとおりである。

① 情報セキュリティ技術 個人情報セキュリティ仕様

② 情報セキュリティ技術 サイバーセキュリティの分類保護のための実装ガイド

③ 情報セキュリティ技術 ビッグデータ・サービスのセキュリティ機能要件

④ 情報セキュリティ技術 産業制御システムのセキュリティリスク・アセスメントガイド(筆者注4)

⑤ 情報セキュリティ技術 産業制御システムネットワーク監視のためのセキュリティ技術要件とテスト評価手法

⑥ 情報セキュリティ技術 産業制御システム脆弱性検出の技術要件とテストおよび評価アプローチ

⑦ 情報セキュリティ技術 ハードコピー装置のセキュリティのためのテストと評価方法  

 一旦採用されると、新しい基準は2010年以降に開発された "情報セキュリティ技術"標準(「TC260(China's National Information Security Standards Technical Committee (TC260))標準」という)」の大規模なグループに加わることになる。これまでのところ、「情報セキュリティ技術」の傘下には240以上の国家基準がある。このような標準は、クラウドコンピューティング、産業制御システム、電子政府および大規模データサービスのセキュリティ基準など、幅広いサイバーセキュリティ関連の問題をカバーしている。TC260標準には、個人情報の保護に関する基準や、CPU、オペレーティングシステム、オフィス・スイート(筆者注5)などの情報技術製品に対する「安全で制御可能な」要件に関する基準も含まれている。 

「情報セキュリティ技術」の一族ファミリーは、中国の自主基準であり、法的拘束力はない。しかし、新しいサイバーセキュリティー法が、中国独自のサイバーセキュリティ関連の標準の開発を明示的に支持していることから、政府はますますその基準を重視することが予想される。また、そのような基準は、しばしば曖昧に言及された法律や規制機関における解釈の重要な指標となりうる。 

 今後、当事務所が予定されている2つのブログ記事(本ブログにおける第2節、第3節をさす)では、「個人情報セキュリティ仕様」の新基準案と、クラウドコンピューティング、産業用制御システム、および大規模データサービスに関連する他のいくつかのサイバーセキュリティ基準について説明する予定である。  

***********************************************************

(筆者注1今回の中国の情報保護体制強化や標準化の関係ブログを検索している中でロシア語のブログ(筆者はロシアの著名な上級記録・情報管理の専門家であるナターシャ・クラムフォスキー女史(Natasha Khramtsovsky)ロシア国内向けのブログでこの問題につき大手国際ローファームであるメイヤーブラウンJSM LLPのメンバーであるガブリエラ・ケネディ(Gabriela Kennedy)Xiaoyan Zhangの解説を引用している。ロシアの中国のサイバー戦略への関心の高さがうかがえる。 

(筆者注2) 中国の企業とりわけIT分野のわが国への企業進出は著しい。 

(筆者注3) AMAP(高德地图)は、2001年以来の中国のウエブマッピング、ナビゲーション、位置情報サービスのプロバイダーである。Amap Software Co., Ltd高德软件が配信する地図/旅行アプリである。少なくとも中国国内の情報はGoogle等に比べ使い勝手が各段に優れている。 

(筆者注4)今回取り上げている各標準化の内容は、米国国立標準技術研究所(NIST )のSpecial Publication 800-82 Revision 2:Guide to Industrial Control Systems (ICS) Security 」セキュリティリスク・アセスメントガイド等を直接引用する内容であることは言うまでもない。 

(筆者注5)オフィス・スイート(Office suite)とは、デスクトップパソコン、ノートパソコン、タブレット、スマートフォンにインストールされて使用、または、クラウドサービスで使用する、オフィス業務に必要なソフトウェアをセットにした、ソフトウェアスイートの一種。スイートとは、「ひと揃え」という意味。より一般的にはオフィスソフトとも呼ばれる。ワープロ、表計算、プレゼンテーション、メールクライアント、個人情報管理、パブリッシング、データベースなどのアプリケーションが組み合わされる。(Wikipediaから一部抜粋) 

*********************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

ジャンル:
海外
コメント   この記事についてブログを書く
この記事をはてなブックマークに追加
« 中国のサイバーセキュリティ... | トップ | 「中国のサイバーセキュリテ... »
最近の画像もっと見る

コメントを投稿

個人情報保護法制」カテゴリの最新記事