データ安全管理レベルを高め、国家安全と発展利益を維持する

2023年10月09日、中国情報化部は、「工業情報化分野におけるデータセキュリティリスク評価実施細則（試行）」の意見募集を開始しました。募集期限は、2023年11月08日となっています。「データ安全法」、「データ安全管理方法（試行）」を施行し、地方業界主管部門、工業情報化分野データ処理者にリスク評価業務の規範化展開することが意図されています。

「工業情報化分野におけるデータセキュリティリスク評価実施細則（試行）」の具体的な内容及び要点

概要

本細則は、「中国データ安全法」、「中国ネットワーク安全法」、「データ安全管理弁法（試行）」などの法律法規、政策文書の関連要求に基づき、制定されました。工業・情報化分野のデータ処理者がデータ安全リスク評価業務を規範的に展開し、データ安全管理レベルを高め、国家安全と発展利益を維持するよう指導することが意図されています。

適用範囲

第2条によれば、本細則は、中国国内の工業・情報化分野の重要データと核心データ処理者が展開するデータ安全リスク評価活動に適用されると規定されています。一般的なデータ処理者は、本細則を参照してデータセキュリティリスク評価を行うことができるます。

評価内容

本文では、リスク評価の内容については以下の通り明記されています。

・重要データと核心データ処理者は、国家法律法規、業界監督管理部門の関連規定及び評価標準に従い、データ処理活動の目的と方式、業務場面、安全保障措置、リスク影響などの要素に対して、データ安全リスク評価を展開し、以下の内容を重点的に評価します：
（一）データ処理の目的、方式、範囲が合法、正当、必要であるか
（二）データ安全管理制度、プロセス戦略の制定と実行状況
（三）データセキュリティ組織の構造、部署の配置と職責の履行状況
（四）データ安全技術防護能力の建設及び応用状況
（五）データ処理活動関係者のデータ安全意識、知識技能、就職背景状況
（六）データが改竄、破壊、漏洩、紛失または不正に取得、不正利用されるなどの安全事件が発生し、国家の安全、公共利益に与える影響範囲、程度などのリスク
（七）データ提供、委託処理、移転に関わる、データ提供側、受信側の安全保障能力、誠実・信用・法律遵守と責任義務制約状況
（八）国家法律法規に規定されて申告する必要があるデータ出国安全評価状況に関連し、データ出国安全評価要求の実行状況。国家関係部門が組織したデータ出国安全評価を通過し、有効期間内にある、実際のデータ出国の規模、範囲、種類などの要素と申告事項の適合状況。
・重要なデータ及び核心処理者は、工業・情報化データの安全性に関する業務経験を有する第三者評価機関に自ら又は委託して評価を行うことができます。評価する際には、少なくとも組織管理、業務運営、技術保障、安全コンプライアンスなどの人員を含む専門化評価チームを構築し、完備した評価作業方案を制定し、有効な技術評価ツールを配備しなければなりません。
・重要データと核心データ処理者は、評価作業が完了した10営業日以内に、当地の業界規制当局に評価レポートを報告または更新しなければなりません。業務の必要に応じて、地方業界の監督管理部門は当該地域の当該分野の重要データと核心データ処理者の評価報告書を工業・情報化部に報告して記録しなければなりません。
・重要データと核心データ処理者者が、第三者評価機関にデータセキュリティリスク評価を依頼する場合、契約書またはその他の法的効力のある文書を締結することにより、双方の権利と責任を明確にし、第三者評価機関に必要な材料と条件を提供し、関連材料の真実性と完全性を確保し、評価結果を確認することができます。

義務

第13条では、評価機関の義務については以下の通り明記されています。

第三者評価機関は、次の義務を履行しなければなりません：
（一）評価作業に関する国家秘密、重要データと核心データの目録と内容、商業秘密、個人プライバシーなどに対して守秘すること
（二）国家法律法規、業界監督管理部門の関連規定及び評価標準に厳格に従い、公正、独立に評価報告を展開し、評価報告を発行するとともに、重要データと核心データ処理者のデータ安全リスク状況を全面的、正確に反映し、効果的なリスク改善提案措置を提供しなければなりません。
（三）重要データと核心データ処理者の同意がある場合、または法律、行政法規に別途規定がある以外、他の組織または個人に技術保護措置、重要人員と安全リスクなどの関連情報を提供してはなりません。
・業界監督管理部門及び委託サポート機構の業務員は、職責履行中に知り得た国家秘密、商業秘密、個人情報、評価業務情報などに対して、守秘義務を遵守するものとします。

参考

1.中国｜中国情報化部、「工業情報化分野におけるデータセキュリティリスク評価実施細則（試行）」の意見募集
2.「工業情報化分野におけるデータセキュリティリスク評価実施細則（試行）」