第5章:個人情報処理者の義務
第51条:個人情報処理者は、個人情報処理活動が、処理目的、処理方法、個人情報の種類、個人の権利と利益への影響、および起こり得るセキュリティリスクに従って、法律および行政に準拠することを保証するために、規制、および不正アクセスや個人情報の漏えい、改ざん、紛失を防止るため、以下の措置を講じるものとする。
(1)内部管理システムと運用手順を策定する。
(2)個人情報の分類管理を実施する。
(3)暗号化や匿名化などの対応するセキュリティ技術的手段を採用する。
(4)個人情報処理の運営権限を合理的に決定し、実務家向けの安全教育および訓練を定期的に実施する。
(5)個人情報セキュリティインシデントの緊急計画の実施を策定および編成する。
(6)法令等に定めるその他の措置。
第52条:国家サイバーセキュリティ情報部門が定める数量までの個人情報を処理する個人情報処理者は、個人情報処理活動および講じられた保護措置を監督する責任を負う個人情報保護の責任者を任命するものとする。
個人情報処理者は、個人情報保護担当者の連絡先情報を開示し、個人情報保護担当者の氏名及び連絡先情報を個人情報保護業務部門に提出する。
第53条:この法律の第3条の第2段落に規定されている中華人民共和国外の個人情報処理者は、人民共和国の領土内に専門機関または指定された代表者を設立するものとする。名前または代表者の名前、連絡先情報など。個人情報保護業務を行う部門に提出するものとする。
第54条:個人情報処理者は、法令及び行政規則を遵守し、個人情報の取り扱いについて定期的にコンプライアンス監査を行うものする。
第55条:以下のいずれかを行う場合、個人情報処理者は、事前に個人情報保護の影響評価(impact assessment)(注4)を実施し、処理状況を記録するものとする。
(1)機密性の高い個人情報の処理。
(2)個人情報を使用して自動化された意思決定を行う。
(3)個人情報の処理を委託し、他の個人情報処理者に個人情報を提供し、個人情報を開示すること。
(4)海外での個人情報の提供。
(5)個人の権利および利益に重大な影響を与えるその他の個人情報処理活動。
第56条:個人情報保護の影響評価には、以下の内容を含めるものとする。
(1)個人情報の処理目的および処理方法が合法であり、適切かつ必要であるかどうか。
(2)個人の権利とセキュリティリスクへの影響。
(3)採用された保護措置が合法であり、効果的であり、リスクの程度に適合しているかどうか。
個人情報保護影響評価報告書および処理記録は、少なくとも3年間保管する必要がある。
第57条:個人情報の漏えい、改ざん、または紛失が発生した場合、または発生する可能性がある場合、個人情報処理者は、直ちに是正措置を講じ、個人情報保護業務を行う部門および個人に通知するものとする。この通知には、次の項目を含める必要がある。
(1)個人情報の漏えい、改ざん、または損失の種類、理由、および考えられる危害が発生した、または発生する可能性がある。
(2)個人情報処理者が講じた是正措置および個人が危害を軽減するために講じることができる措置。
(3)個人情報処理者の連絡先。
情報の開示、改ざん、紛失により危害を及ぼすことを効果的に回避するための措置を講じる者は、個人情報を取り扱う者に通知しない場合がある。 個人情報保護の義務を遂行する部門が、それが害を及ぼす可能性があると考える場合、個人情報を取り扱う人に個人に通知するよう要求する権利を有するものとする。
第58条:重要なインターネットプラットフォームサービス、多数のユーザー、および複雑なタイプの個人情報処理を提供する者は、以下の義務を履行するものとする。
(1)国内規制に基づく個人情報保護コンプライアンス体制の構築・改善、個人情報の保護を統括する外部会員を中心とした独立組織の設置。
(2)オープン性、公平性、正義の原則に従い、プラットフォームのルールを策定し、プラットフォーム上の製品またはサービスプロバイダーによる個人情報の処理の基準と個人情報を保護する義務を明確にする。
(3)法律および行政規則に重大な違反をした個人情報を扱うプラットフォームで、製品またはサービスプロバイダーへのサービスの提供を停止する。
(4)個人情報保護に関する社会的責任報告書を定期的に発行し、社会的監督を受け入れる。
第59条:個人情報の処理の委託を受理する受託者は、本法及び関連法令及び行政規則の規定に従い、処理する個人情報の安全を確保するために必要な措置を講じ、この法律の規定義務を履行すべく情報処理者の履行を支援するものとする。
第6章:個人情報保護業務を行う行政部門
第60条:国家サイバースペース管理局は、個人情報保護および関連する監督と管理の全体的な計画と調整に責任を負う。国の議会の関連部門は、本法および関連法および行政規則の規定に従い、それぞれの職務の範囲内で個人情報の保護および監督と管理に責任を負うものとする。
郡レベル以上の地方人民政府の関連部門の個人情報の保護および監督と管理の責任は、関連する国内規制に従って決定されるものとする。
前2項に規定する部門を総称して、個人情報保護業務を行う部門という。
第61条:個人情報保護業務を行う部門は、以下の個人情報保護業務を行います。
(1)個人情報保護の宣伝および教育を実施し、個人情報処理者を指導および監督して、個人情報保護作業を実施する。
(2)個人情報の保護に関する苦情および報告の受理および処理。
(3)申請書等の個人情報保護の評価を整理し、評価結果を公表。
(4)違法な個人情報処理活動の調査および取り扱い。
(5)法令及び行政規則に定めるその他の義務。
第62条:国家サイバースペース管理局は、この法律に従って以下の個人情報保護作業を促進するために関連部門を調整するものとする。
(1)個人情報保護のための特定の規則および基準を策定する。
(2)小規模な個人情報処理業者、機密性の高い個人情報の処理、および顔認識や人工知能などの新しいテクノロジーとアプリケーションのための特別な個人情報保護規則と基準を策定する。
(3)安全で便利な電子ID認証技術の研究、開発、促進を支援し、ネットワークID認証のための公共サービスの構築を促進する。
(4)個人情報保護のための社会福祉制度の構築を促進し、関係機関が個人情報保護の評価および認証サービスを実施することを支援する。
(5)個人情報保護に関する苦情および報告の作業メカニズムを改善する。
第63条:個人情報保護業務を行う部門は、個人情報保護業務を行う際に以下の措置を講じることができる。
(1)関係者への問い合わせ、および個人情報処理活動に関連する状況の調査。
(2)当事者の契約書、記録、帳簿、および個人情報処理活動に関連するその他の関連資料を参照およびコピーする。
(3)立入検査を実施し、違法と思われる個人情報処理活動を調査する。
(4)個人情報処理活動に関連する機器および物品の検査;それらが違法な個人情報処理活動に使用されていることを証明する証拠がある場合、書面による報告書を部門の主たる責任者に提出し、承認するものとする。それらは封印または押収される可能性がある。
個人情報保護業務を行う部門は、法令に基づき業務を遂行し、関係者は、支援・協力を行い、拒否または妨害してはならない。
第64条:個人情報保護業務を行う部門は、その業務を遂行するにあたり、個人情報処理活動のリスクが高い、または個人情報セキュリティ事故が発生していると判断した場合、所定の権限と手続き本人または主たる担当者が面接を行うか、個人情報処理活動のコンプライアンス監査を専門機関に委託することを個人情報処理者に要求する。個人情報処理者は、必要に応じて是正措置を講じ、隠れた危険を排除するものとする。
個人情報保護業務を行う部署は、業務を遂行するにあたり、個人情報の違法な取り扱いが犯罪の疑いがあると判断した場合は、速やかに公安機関に転送し、法令に基づいて取り扱う。
第65条:いかなる組織または個人も、個人情報保護業務を行う部門に、違法な個人情報処理活動に関する苦情または報告を提出する権利を有する。苦情または報告を受けた部門は、法律に従って適時にそれを処理し、処理の結果を苦情または報告者に通知するものとする。
個人情報保護業務を行う部門は、苦情や報告を受け入れるための連絡先情報を公開するものとする。
第7章 法的責任
第66条:個人情報が本法の規定に違反して処理される場合、または個人情報の処理が本法に基づく個人情報保護義務を履行しない場合、個人情報保護義務を遂行する部門は、訂正を命じ、警告を発し、没収するものとする。個人情報の利用は、サービスの提供を停止または終了するよう命じられ、訂正を拒否された場合は、100万元(約1689万円)未満の罰金が科せられる。担当者およびその他の直接責任者は、10,000元(約168000円)以上、100,000元(約168万円)以下の罰金を科されるものとする。
前項の違法行為があり、事情が深刻な場合は、省レベル以上の個人情報保護業務を行う部門が、訂正を命じ、違法な利益を没収し、5000万元(約8億4400万円)以下の罰金または前年の売上高の5%未満の罰金を科す。また、関連事業の停止または是正のための事業の停止を命じたり、関連する管轄当局に関連する事業許可を取り消すか、事業許可を取り消すように通知したり、最高10万元の罰金を科したりすることもできる。 また、一定期間、関係企業の取締役、監督者、上級管理職、個人情報保護責任者としての役割を禁止することを決定することができる。
第67条:本法に定める違法行為があった場合は、関連法及び行政規則の規定により信用ファイルに記録し、公表するものとする。
第68条:国家機関がこの法律に定める個人情報保護義務を果たさないときは、その上位機関又は個人情報保護責任を果たす部署から是正を命じられ、直接責任を負う責任者及び直接責任を負う者は、法律に従って懲戒処分を受けるものとする。
第69条:個人情報の取扱いが個人情報の権利及び利益を侵害し、その損害を被った場合、個人情報取扱者は、過失がないことを証明できない場合には、損害賠償その他の不法行為の責任を負うものとする。
前項の損害賠償責任は、個人が被った損失又は個人情報の取扱者が被った利益に基づいて決定する。 したがって、個人が被った損失および個人情報の取扱者が得る利益は決定が困難であり、実際の状況に応じて補償額が決定されます。
第70条:個人情報処理者がこの法律の規定に違反して個人情報を処理し、多くの個人の権利と利益を侵害する場合、人民検察官、法律で指定された消費者団体、および国のサイバースペース管理局によって決定された組織が法律に従った人民法院に訴訟.を起こすことができる。
第71条:この法律の規定に違反し、公安管理の違反を構成する者は、法律に従って公安管理の罰則を科されるものとし、犯罪が構成された場合、刑事責任は法律に従って調査されるものとする。
第8章 附則
第72条:この法律は、個人または家族の問題のために個人情報を取り扱う自然人には適用しない。
法律に、すべてのレベルの人民政府およびその関連部門によって組織および実施される統計およびアーカイブ管理活動における個人情報の取り扱いに関する規定がある場合、それらの規定が適用されるものとする。
第73条この法律における以下の用語の意味を定める:
(1)「個人情報処理者」とは、個人情報処理活動における処理の目的および方法を独自に決定する組織または個人を指す。
(2)「自動化された意思決定」(注5)とは、コンピュータープログラムを通じて、個人の行動習慣、趣味、または経済、健康、信用状態を自動的に分析および評価し、意思決定を行う活動を指す。
(3)「匿名化(去标识化)」とは、個人情報を処理して、追加情報に頼らずに特定の自然人を特定できないようにするプロセスを指す。
(4)「匿名化(匿名化)」とは、個人情報を特定できず、処理後に復元できないプロセスを指す。
第74条:この法律は2021年11月1日に発効する。
2.国務院令第745号「重要な情報インフラストラクチャのセキュリティ保護に関する条例」の概要
2021年7月30日、リー・クーチアン(李克强)首相は国務院令第745号に署名し、「重要な情報インフラストラクチャのセキュリティ保護に関する条例(关键信息基础设施安全保护条例)」(以下「条例」という)を公布した。これは2021年9月1日に施行する。
以下で新華社通信を介したリリース文とこの数日前、法務省、中国サイバースペース管理局、工業情報化部、公安部の関係者が、「規則」に関連する問題について記者からの質問に答えた。
両内容を仮訳する。
(1)2021年9月1日から施行される「重要情報インフラの安全保護に関する条例」(以下「条例」)を公表するリリース文 (http://www.cac.gov.cn/2021-08/17/c_1630790665977485.htm)
党中央委員会と国務院は、重要な情報インフラのセキュリティと保護を非常に重視している。重要な情報インフラは、経済・社会運営の神経中枢であり、サイバーセキュリティの最優先事項である。 現在、重要な情報インフラストラクチャは厳しいセキュリティ状況に直面しており、サイバー攻撃の脅威は頻繁に発生している。規則を制定し、特別な保護システムを確立し、当事者の責任を明確にし、重要な情報インフラのセキュリティと保護のための法制度の更なる改善を促進するセーフガードを以下のとおり提案する。
第1は、重要な情報インフラストラクチャの範囲と保護に関する原則的な目標を明確にすることである。条例は、主要産業や分野における重要なネットワーク施設や情報システムが重要な情報インフラであり、国が重要な情報インフラを重点的に保護し、国内外のサイバーセキュリティリスクや脅威を監視、防御、処分し、重要な情報インフラを攻撃、侵入、干渉、破壊から保護し、法律に従って違法行為を処罰する措置をとることを定めている。その保護は、包括的な調整、分業責任、法律に基づく保護、重要な情報インフラ事業者の主たる責任の強化と実施、政府及び社会のあらゆる側面の役割を十分に果たし、重要な情報インフラのセキュリティを共同で保護すべきである。
第2に、監督・管理体制の明確化である。条例は、国務院の公安部門が、国家ネットワーク通信部門の調整と調整の下、重要な情報インフラの安全と保護を指導し、監督する責任を負い、規定している。 国務院の通信担当部門及びその他の関連部門は、規則及び関連法令及び行政規則の規定に従い、それぞれの責任の範囲内で重要な情報インフラの安全保護及び監督及び管理に責任を負うものとする。地方の人民政府の関連部門は、それぞれの責任に従って、重要な情報インフラの安全保護及び監督及び管理を行うものとする。
第3に、重要な情報インフラの認定メカニズムを整備する。条例は、識別作業の組織方法と手順を明確にし、業界認定規則に従って、重要な情報インフラストラクチャの識別結果を集計し、動的に調整し、重要なネットワーク施設や情報システムが保護範囲に含まれるようにする。
第4に、事業者の責任と義務を明確にする。条例は、サイバーセキュリティ責任の実施、サイバーセキュリティ保護システムの確立と改善、専門セキュリティ管理機関の設置、セキュリティ監視とリスク評価の実施、サイバーセキュリティインシデントまたはサイバーセキュリティの脅威の報告、ネットワーク製品およびサービスの調達活動の標準化など、重要な情報インフラストラクチャ事業者を規制している。
第5に、セーフガードと推進策を明確にする。 条例は、業界のセキュリティ計画の策定、情報共有メカニズムの確立、監視と早期警戒システムの確立と改善、サイバーセキュリティインシデントの緊急対応要件の明確化、セキュリティ検査と検査の組織化、技術サポートと支援の提供を規定している。
第6に、法的責任の明確化です。この条例は、重要な情報インフラ事業者が安全保護の主体としての責任を果たさなかったこと、関係当局及び職員が法律に従って職務を果たせなかった場合、罰則、懲戒処分、刑事責任の追及その他の措置を定めている。 重要な情報インフラの不法侵入、妨害、破壊を行い、その安全活動を危険にさらす組織や個人は、法律に従って処罰されるものとする。
(2)関係機関の記者会見内容 (http://www.cac.gov.cn/2021-08/17/c_1630790666071035.htm)
質問:「規則」の公布の背景を簡単に紹介してほしい。
回答:党中央委員会と国の議会は、重要な情報インフラストラクチャのセキュリティ保護を非常に重要視している。重要な情報インフラストラクチャは、経済的および社会的運用の中核であり、ネットワークセキュリティの最優先事項である。重要な情報インフラストラクチャのセキュリティを確保することは、国家のサイバースペースの主権と国家の安全を保護し、経済と社会の健全な発展を確保し、公益と市民の正当な権利と利益を保護するために非常に重要である。現在、重要な情報インフラストラクチャが直面しているサイバーセキュリティの状況はますます厳しくなっている。サイバー攻撃の脅威が高まり、隠れた危険が頻繁に発生する傾向がある。セキュリティ保護には、不完全な法規制、脆弱な作業基盤、分散したリソース、不十分な技術業界のサポートを回避すべく、特別なシステムを確立し、すべての関係者の責任を明確にし、重要な情報インフラストラクチャのセキュリティ保護機能の向上を加速することが急務である。2017年に施行された「中華人民共和国サイバーセキュリティ法(中华人民共和国网络安全法:CSL)」は、重要な情報インフラストラクチャとセキュリティ保護対策の具体的な範囲を国務院が策定することを規定している。「規則」の公布は、「中華人民共和国ネットワークセキュリティ法(中国ネット安全法:中华人民共和国网络安全法:CSL)」の関連要件を実装することを目的としており、重要な情報インフラストラクチャのセキュリティ保護の私の国の徹底的な開発に強力な法的保証を提供する。
質問:「条例」を策定する一般的な考え方は何か?
回答:全体的な考え方では、主に次の3つのポイントを把握している。まず、問題の方向性を順守する。重要な情報インフラストラクチャのセキュリティ保護の実践における顕著な問題に対応して、「中華人民共和国ネットワークセキュリティ法」の関連規定が洗練され、実践において成熟して効果的であることが証明された実践保護のための法的保護を提供するために法制度にアップグレードされる。2番目は責任をコンパクトにすることである。法律に基づく包括的な調整、分業、保護を遵守し、主要な情報インフラストラクチャ事業者の主な責任を強化および実施し、共同で重要な情報インフラストラクチャにつき政府および社会のあらゆる側面の役割を十分に発揮する。3番目は、関連する法律や行政規制とうまく連携することである。「中華人民共和国ネットワークセキュリティ法」によって確立された制度的枠組みの下で、関連する制度的措置が洗練され、関連する法律および行政規則との関係が適切に処理される。
質問:重要な情報インフラストラクチャのセキュリティ保護を実行する際の各部門の責任の分担は何か?
回答:「条例」の第3条は、国家のサイバーセキュリティおよび情報化部門の全体的な調整の下で、国家評議会の公安部門が重要な情報インフラストラクチャのセキュリティ保護を指導および監督する責任があると規定している。それぞれの責任の範囲内で、重要な情報インフラストラクチャの安全保護と監視および管理に責任を負うものとする。中国政府の関連部門は、それぞれの責任に応じて、セキュリティ保護と主要な情報インフラストラクチャの監視および管理を実装している。
質問:重要な情報インフラストラクチャを特定するにはどうすればよいか?
回答:「条例」は、中国の国家状況に基づいて、外国の慣行から借用した重要な情報インフラストラクチャの定義と識別手順を明確にした。1番目は、重要な情報インフラストラクチャの定義を明確にすることである。2番目は、主要な情報インフラストラクチャの業界および分野の管轄部門と監督および管理部門が、主要な情報インフラストラクチャのセキュリティ保護を担当する部門であることを明確にすることである。3番目は、保護作業部門が業界とこの分野の実際の状況に応じて重要な情報インフラストラクチャの識別ルールを策定し、業界とこの分野の重要な情報インフラストラクチャの識別を整理することを明確にすることである。第4番目に、重要な情報インフラの大きな変更が決定結果に影響を与える可能性がある場合、オペレーターは直ちに保護作業部門に報告し、保護作業部門は再識別しなければならないことが規定されている。
質問:保護作業部門の責任に関する「条例」の規定は何か?
回答:中華人民共和国サイバーセキュリティ法の関連規定に従い、「責任者」の原則に従い、「条例」は、保護作業部門の責任を明確にしている。業界のセキュリティ保護とこの分野の主要な情報インフラストラクチャ:第1に、主要な情報インフラストラクチャのセキュリティ計画を策定し、保護の目的、基本的な要件、作業タスク、および具体的な対策を明確にする。2番目は、健全なネットワークセキュリティ監視および早期警告システムを確立し、主要な情報インフラストラクチャの運用ステータスとセキュリティ状況をタイムリーに把握し、ネットワークセキュリティの脅威と隠れた危険を早期に警告および通知し、セキュリティ防止作業を指導することである。3番目は、サイバーセキュリティ・インシデントに対する適切な緊急計画を確立し、定期的に緊急訓練を実施することである。4番目は、サイバーセキュリティ・インシデントに対処するようにオペレーターを指導し、必要に応じて技術サポートと支援を整理して提供することである。第5番目に、ネットワークセキュリティ検査を定期的に編成および実行して、オペレーターを指導および監督し、潜在的な安全上の問題を修正し、安全対策をタイムリーに改善する。
質問:主要な情報インフラストラクチャ事業者の主な責任を強化および実施するために、条例の主な規定は何か?
回答:「条例」は、一般規定におけるオペレーターの責任の原則を定めており、オペレーターは、ネットワークセキュリティインシデントに対応し、ネットワーク攻撃や違法および犯罪行為を防止し、安全を確保し、重要な情報インフラストラクチャの安定した運用、およびデータの整合性、機密性、可用性の維持を図る。
また「条例」は、主に以下を含む、関連する義務と要件を詳述するための特別な章を設定する。第1番目に、ネットワークセキュリティ保護システムと責任システムを確立および改善し、「ファースト・イン・コマンド責任システム」(注6)を実装し、主な責任を明確にする。オペレーターの人が全体的な責任を負い、人員と財産への投資を保証する。2番目は、セキュリティ保護の責任を果たすための特別なセキュリティ管理機関を設立し、ネットワークセキュリティと情報化に関連するユニットの意思決定に参加し、機関の責任者と主要な担当者のセキュリティ背景レビューを実施することである。3番目は、重要な情報インフラストラクチャのネットワークセキュリティ検査とリスク評価を毎年実施し、問題をタイムリーに修正し、必要に応じて保護部門に状況を報告することである。第4番目に、重要な情報インフラストラクチャで重大なネットワークセキュリティインシデントが発生した場合、または主要なネットワークセキュリティの脅威が発見された場合は、規制に従って保護作業部門と公安機関に報告する必要がある。第5番目に、安全で信頼できるネットワーク製品およびサービスの購入を優先し、プロバイダーとのセキュリティおよび機密保持契約に署名する。国家安全保障に影響を与える可能性のあるものは、規制に従ってセキュリティ・レビューに合格する必要がある。
質問:重要な情報インフラストラクチャのセキュリティ保護に関して、条例ではどのような保証と促進策が指定されているか?
回答:重要な情報インフラストラクチャのセキュリティを確保するには、リソースと長所を調整し、すべての側面で保護を実装する必要がある。保護の観点から、「条例」はネットワークセキュリティ情報共有メカニズムを明確に確立し、作業中に取得した情報はネットワークセキュリティを維持するためにのみ使用でき、他人に漏えい、販売、または違法に提供されてはならないことを規定している。2番目は、関連する州の部門によって実施される安全検査の準備をすることであり、不必要な検査や重複検査の回避を要求し、検査は課金されず、検査対象のユニットは指定された製品やサービスを購入する必要はない。同時に、個人または組織は、検出やテストなどの活動を実行してはならないことが規定されている。3番目は、国家のサイバーセキュリティおよび情報化部門、州議会の電気通信部門、および公安部門が、保護作業部門のニーズに応じて技術サポートおよび支援を提供することを規定することである。4番目は、国がエネルギーや電気通信などの重要な情報インフラストラクチャの安全な運用を確保することを優先することを明確にすることである。5番目に、公安機関と国家安全保障機関は、それぞれの責任に応じて重要な情報インフラストラクチャのセキュリティを強化し、重要な情報インフラストラクチャを対象として使用する違法および犯罪行為を防止および取り締まる必要がある。6番目に、国が重要な情報インフラストラクチャのセキュリティ保護を指導および規制するためのセキュリティ基準を発行したことは明らかである。サポートとプロモーションの観点から、「条例」は、人材育成、技術革新と産業開発、ネットワークセキュリティサービス組織の構築と管理、軍と文民の統合、および表彰と報酬の観点から対応する規定を設けている。
質問:重要な情報インフラストラクチャのセキュリティを危険にさらす活動を実行する個人および組織、または承認または承認なしに重要な情報インフラストラクチャの脆弱性検出や侵入テストなどの活動を実行する個人および組織の場合、条例にはどのような規定があるのか?
回答:実際には、一部の個人や組織は、重要な情報インフラストラクチャのセキュリティに影響を与える、重要な情報インフラストラクチャの脆弱性検出や侵入テストなどのアクティビティを許可なく実行している。「規則」は、最初に、個人または組織が重要な情報インフラストラクチャに不法に侵入、干渉、または破壊したり、重要な情報インフラストラクチャのセキュリティを危険にさらしたりする活動を実行してはならないことを明確にしている。2番目は、国家のサイバーセキュリティおよび情報部門、州議会の公安部門、または保護作業部門の承認、およびオペレーターの承認なしに、個人または組織が脆弱性の検出、侵入テストを実施してはならないことを規定する。重要な情報インフラストラクチャのセキュリティに影響を与える、または危険にさらす可能性のある重要な情報インフラストラクチャや活動についてである。基本的な電気通信ネットワークでの抜け穴の検出、侵入テスト、およびその他の活動の実施は、事前に国務省の管轄の電気通信部門に報告される。3番目に、対応する罰則は、法的責任に関する章で具体的に規定されている。
質問:重要な情報インフラストラクチャで重要なデータをエクスポートするにはどうすればよいか?
回答:「中華人民共和国データセキュリティ法(DSL)」は、2021年6月10日に開催された第13回全国人民代表大会常任委員会の第29回会議で採択され、9月1日に施行される。その中で、第31条は、中華人民共和国の領域内での運用中に重要な情報インフラストラクチャの運営者によって収集および生成された重要なデータの出口セキュリティ管理は、「中華人民共和国ネットワークセキュリティ法」に準拠することを規定している。「中華人民共和国サイバーセキュリティ法」第37条は、中華人民共和国の領土内での運用中に重要な情報インフラストラクチャの運営者によって収集および生成された個人情報および重要なデータは、地域。業務上の理由により海外への提供が必要な場合は、国家サイバースペース管理部門が国務院の関連部門と連携して策定した措置に従い、法律にその他の規定がある場合は、セキュリティ評価を実施するものとしている。また行政規則については、規定に従うものとしている。
***********************************************************************************
(注4)中国に先行したわが国の保護法には影響評価に関する規定はない。この点に関し、個人情報保護委員会 事務局は以下のとおり述べているが重要な課題であると思う。
1) PIAの推奨
PIAは欧米において先行して実施されており、GDPRにはPIAに相当するDPIAが規定されています。日本では今年1月20日にJIS X 9251:2021「情報技術—セキュリティ技術—プライバシー影響評価のためのガイドライン」が発行されました。
委員会としては、PIAについて、有用な手段であると評価する一方で、現時点において、評価の項目や手法等を規定して義務化することは、民間の自主的な取組を阻害するおそれがあると考えています。委員会では、現在、民間の自主的な取組を促すための方策について検討しています。(個人情報本書面は、ARTICLE 29 DATA PROTECTION WORKING PARTY (第29条作業部会)により2017年10月3日に採択後、修正のうえ2018年2月6日に採択された、 “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation” の英語版
の一部を個人情報保護委員会が翻訳したものである。
Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation
(注5)「自動化された個人に対する意思決定とプロファイリングに関するガイドライン」
(注6) インシデント・コマンド・システム(Incident Command System:現場指揮システム)とは、災害などのリスク発生時における組織のマネジメントのことです。
災害などのリスク発生時には多くの報告が1人の担当者に集中してしまう、混乱した状況の中で指示が乱立することで重要な指示が正しく伝わらないなどの問題が発生する場合があります。
しかし、このインシデント・コマンド・システムを実施すれば、対応を行う組織の役割や指揮の方法などを決められるため、組織の混乱を最小限に抑えながらリスクの対処に集中できるようになるのです。
インシデント・コマンド・システムは、災害や事故など多くのリスクが取り巻く企業においても活用できるので、万が一の事態に備えて平時から導入しておくと良いでしょう。(
FIRSTALERT「インシデント・コマンド・システム(ICS)とは」から一部抜粋。)
******************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます