法令違反で10億円か売上高の5％–注意を払うべき中国「データ3法」の対応策

今回は「法令違反で10億円か売上高の5％–注意を払うべき中国「データ3法」の対応策」についてご紹介します。

関連ワード （経営等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　インターネットイニシアティブ（IIJ）は10月17日、「中国データ保護規制と企業の対応状況の最新動向」と題したメディア向けオンライン勉強会を開催した。同社グループの中国法人であるIIJ Global Solutions China 董事・副総経理 技術統括部長 李天一氏は「法改定に伴い、罰則強化やデータセキュリティと個人情報保護が一体化する。最終的にはデータ越境にまつわる認定・判定プロセスのコマーシャライゼーション対応まで（進む）」と警鐘を鳴らした。

　中国は「個人情報保護法」「サイバーセキュリティ法」「データセキュリティ法」の“データ3法”を制定している。個人情報や重要データを保護するための法律だが、IIJ ビジネスリスクコンサルティング本部 シニアコンサルタント 加藤博一氏は「データセキュリティ法は昨年（2021年）9月、11月に個人情報保護法を施行。2017年に施行したサイバーセキュリティ法と合わせて『中国データ3法』」と呼んでいる。

　中国の動きは活発で「アップデートサイクルのスピード感も非常に早まっている。データセキュリティ法と個人情報保護法は2021年4月ごろに2次草案が出されたものの、約半年で施行に至った」（加藤氏）

　名称からも分かるように各法の役割は異なり、個人情報のみを対象とするのが個人情報保護法、ネットやデータ全般を規制対象とするのがサイバーセキュリティ法とデータセキュリティ法だ。

　データ3法がそろったことで「枠組みが固まった。今後は法執行が本格化してくる。また、個人情報保護の範囲が中国境内（香港、マカオ、台湾をのぞいた中国本土）や域外適用もある。個人情報保護法は深刻な違反が生じた場合と条件付きではあるものの、最高で5000元（約10億円）、もしくは前年度売り上げ5％以下の過料が科される」（加藤氏）ため、中国に進出中の企業は現地のガバナンス強化が欠かせない。

　ただし、各法は非民主的な立て付けではなく、個人情報保護法は欧州連合（EU）の一般データ保護規則（GDPR）や米カリフォルニア州消費者プライバシー法（CCPA）、サイバーセキュリティ法は情報セキュリティの国際規格である「ISO27000」や米国の連邦政府でのセキュリティ管理とプライバシー管理のガイドラインである「NIST SP800-53 」、データセキュリティ法はITガバナンスでのデータガバナンスの国際規格である「ISO 38505」、データ管理の国際的な非営利団体であるData Management Association International（DAMA）といったセキュリティフレームワークをもとにしている。

　データ3法に対して、李氏は「（経営層視点では）法整備がほぼ完了したので中国国内でも一般大衆向けの宣伝がなされ、一般市民の関心度も高まりつつある」と現地の状況をつまびらかにしながら、コンプライアンス順守やガバナンス強化、データ資産、情報インフラセキュリティの再確認をうながした。

　こうした状況に関心を寄せざるを得ないのが、中国に進出した日系企業の存在である。