国家の安全保護を促進するために、データセキュリティに係る業務を規範化する

2022年12月13日、中国工業情報化部は「工業情報化分野におけるデータセキュリティ管理弁法（試行）」（2022年166号）の通達を公示しました。

「工業情報化分野におけるデータセキュリティ管理弁法（試行）」の具体的な内容および要点

概要

本弁法は「中国データセキュリティ法」、「中国サイバーセキュリティ法」、「中国個人情報保護法」、「中国国家セキュリティ法」および「中国国民法典」に基づいて制定されました。工業情報化分野におけるデータ処理業務を規範化し、データの安全管理を強化するとともに、データの安全を保障し、データの開発利用を促進し、国家の安全および発展の利益を守ることが意図されています。

適用範囲

第2条によれば、本弁法は中国国内で工業および情報化分野におけるデータ処理活動とその安全監督管理を行うときに適用されると規定されています。

定義

本弁法の第３条によれば、本弁法で使用される専門用語は以下のとおり説明されています。

・工業情報化分野におけるデータとは、工業データ、電気通信データ、無線データを指します。その中、工業データとは、工業の各業界、各分野が研究開発設計、生産製造、経営管理、運行維持、プラットフォーム運営等の過程で収集したデータを指します。

電気通信データとは、電気通信事業の経営活動によって生成され、収集されたデータを指します。無線データとは、無線業務活動を行う際に生成され、収集される無線周波数等の電波パラメータデータを指します。

・工業情報化分野におけるデータ処理者とは、データ処理活動において処理目的、処理方式を自主的に決定する工業企業、ソフトウェア情報技術サービス企業、電気通信事業免許を取得した電気通信事業者および無線周波数を使用する組織等を指します。

「工業および情報化分野におけるデータセキュリティ管理弁法（試行）」第３条

データ分類管理

本弁法の第2章により、データ分類管理に関する事項は以下のとおり明記されています。

・工業情報化部の組織は、データ分類、重要データと、核心データ認定、データ分類防護等の標準規範を制定し、管理を実施するものとします。工業および情報化分野のデータ処理者は、定期的にデータを整理し、関連する標準規範に基づいて重要データと核心データを分類し、当該部門の具体的な目録を作成しなければなりません。

・データが改竄され、破壊され、漏洩され、あるいは不法に取得され、利用されたことにより国家の安全、公共利益あるいは個人、組織の利益に侵害する程度に基づいて、工業および情報化分野におけるデータは一般データ、重要データと核心データの3つのレベルに分類されます。

工業および情報化分野のデータ処理者は、その関連標準に基づいてデータの種類を細分化することができます。

「工業情報化分野におけるデータセキュリティ管理弁法（試行）」第2章

データセキュリティの監視および応急管理

本弁法の第４章により、データセキュリティの監視および応急管理の事項は以下のとおり明記されています。

・工業および情報化分野におけるデータ処理者は、データセキュリティリスクのモニタリングを実施し、データセキュリティリスクを防止しなければなりません。また、安全事件を引き起こす可能性のあるリスクを発見した場合、直ちに当該地域の業界監督管理部門に報告しなければなりません。

・データセキュリティ事故が発生した後、工業および情報化分野におけるデータ処理者は緊急対応策に基づき、速やかに緊急処置を展開し、当該地域の業界監督管理部門に報告しなければなりません。

「工業情報化分野におけるデータセキュリティ管理弁法（試行）」第４章

参考

1．「工業情報化分野におけるデータセキュリティ管理弁法（試行）」の通達 /中国工業情報化部