| 法令の情報時期:2022年12月 公布版 | ページ作成時期:2024年08月 |
目的
本弁法の目的は、工業情報化分野におけるデータ処理活動を規制し、データの安全管理を強化し、データの安全を確保し、データの開発と利用を促進し、個人及び組織の正当な権利と利益を保護し、国家の安全を保護することである。
概要
本弁法は、工業情報化分野におけるデータ処理活動を規制し、データの安全管理を強化し、データの安全を確保し、データの開発と利用を促進し、個人及び組織の正当な権利と利益を保護し、国家の安全を保護するため、「中華人民共和国データ安全法」「中華人民共和国サイバーセキュリティ法」「中華人民共和国個人情報保護法」「中華人民共和国国家安全法」「中華人民共和国民法典」などの法律法規に従って本弁法が策定される。
中華人民共和国の領土内で実施される工業情報化分野におけるデータ処理活動及びそれらのセキュリティ監督管理は、関連法律、行政法規及び本弁法の要求を遵守するものとする。
本弁法は計42条で構成され、データの分類分級管理、全ライフサイクルのセキュリティ管理、監視と緊急対応に関する詳細な規定を含む。
本弁法に違反し、データセキュリティに重大なリスクがある場合、業界監督管理部門は是正措置を講じるよう要求し、違法行為に対しては、違法所得の没収、罰金、営業停止、営業許可の取消などの行政処分を科し、犯罪を構成する場合には刑事責任を追及する。
注目定義
■ 「工業情報化分野におけるデータ取扱者」(工业和信息化领域数据处理者)
| 「工業情報化分野におけるデータ取扱者」とは、データ処理活動において処理目的と処理方法を独自に決定する工業企業、ソフトウェアと情報技術サービス企業、電気通信事業免許を取得した電気通信事業者及び無線通信周波数、ステーション(局)事業者などの工業情報化分野の様々な主体をいう。工業情報化分野のデータ取扱者は所属分野によって、工業データ取扱者、電気通信データ取扱者、無線通信データ取扱者などに分類される。データ処理活動には、データの収集、保存、使用、処理、送信、提供、開示などの活動が含まれ、これらに限定されない。(第3条) |
■ 「工業情報化分野におけるデータ」(工业和信息化领域数据)
| 「工業情報化分野におけるデータ」とは、工業データ、電気通信データ及び無線通信データなどを含む。工業データとは、工業の様々な分野における研究開発、設計、生産製造、経営管理、運用保守、プラットフォーム運営の過程で生成及び収集されるデータをいう。(第3条) |
■ 「電気通信データ」(电信数据)
| 「工業情報化分野におけるデータ」とは、電気通信事業経営活動の中で生成及び収集されるデータをいう。(第3条) |
■ 「無線通信データ」(无线电数据)
| 「無線通信データ」とは、無線通信事業経営活動の中で生成及び収集された無線通信電波の周波数、ステーション(局)などの電波パラメータデータをいう。(第3条) |
適用除外(対象外・猶予・免除等)
工業情報化分野における政務データ処理活動の具体的な弁法は、工業情報化部が別途規定する。(第40条)
国防科学技術工業、タバコ産業のデータセキュリティ管理は、国家国防科学技術工業局と国家タバコ専売局が担当し、具体的な制度は本弁法を参照して別途制定する。(第41条)
事業者が注意すべき内容
| 本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。 ご関心がございましたら、お気軽にお問い合わせください。 |
工業情報化分野におけるデータ取扱者は、定期的にデータを整理し、関連する標準規範に従って重要データと核心データを特定し、独自の特定目録を作成する必要がある。
データは、業界の要件や業務ニーズに基づき、研究開発データ、生産運用データ、管理データ、運用保守データなどのカテゴリに分類される。
さらに、データの改ざんや漏えいなどによるリスクの程度に応じて、データを一般データ、重要データ、核心データに分類し、種類と等級を細分化することが求められる。(第7条、第8条)
一般データは、社会や個人、組織にわずかな影響を与えるデータであり、影響範囲が狭く、重要データや核心データに含まれないものが該当する。
重要データは、国家安全保障や工業分野の発展に深刻な影響を及ぼし、連鎖的な影響が広範囲に及ぶ可能性があるデータである。
核心データは、国家安全保障に厳重な脅威を与えるデータで、工業分野や重要企業に重大な影響を及ぼし、大規模な機能麻痺や損害を引き起こす恐れがあるデータが含まれる。(第9条、第10条、第11条)
工業情報化分野のデータ取扱者は、重要データと核心データの目録を地方業界監督管理部門に提出する義務がある。
この目録には、データのソース、種類、等級、規模、キャリア、処理目的と方法、使用範囲、責任主体、外部共有、国境を越えた送信、安全保護措置などの基本情報が含まれるが、データ内容そのものは含まれない。
記録内容に大きな変更があった場合、データ取扱者は変更後3か月以内に変更手続きを完了しなければならない。
重大な変更とは、特定の重要データと核心データの規模が30%以上変更された場合や、その他の記録内容が変更された場合を指す。(第12条)
工業情報化分野のデータ取扱者は、データ処理活動の安全を確保する責任があり、データの等級に応じた保護措置を講じる必要がある。
異なる等級のデータが同時に処理される場合、最高等級のデータに基づいて保護を行い、データの継続的な保護と合法的な使用を維持する義務がある。
また、重要データや核心データの取扱者は、データセキュリティの作業システムを確立し、責任者と管理機構を明確にし、主要なポジションにいる担当者にデータセキュリティ責任書への署名を義務付ける必要がある。
これにより、データ処理活動を厳密に管理し、適切な記録を保持することが求められる。(第13条)
工業情報化分野のデータ取扱者は、データ収集に際して合法性と正当性の原則を遵守し、窃盗などの違法な手段でデータを収集してはならない。
データ収集時には、データのセキュリティ等級に応じた適切なセキュリティ対策を実施し、重要データや核心データに関しては特に、人員や設備の管理を強化し、データソースや収集時間、種類、量、頻度、流れなどの詳細を記録する必要がある。
間接的に重要データや核心データを取得する場合は、データ提供者にその合法性を保証させ、必要な法的責任を負うことが求められる。
また、データの保管については、法律や規定に従い、定められた期間中に安全に保管しなければならない。特に重要データや核心データは、検証技術や暗号化技術を用いて安全に保管し、災害時のデータ復旧対策や記憶媒体の安全管理を徹底し、定期的にデータ復旧テストを実施することが必要である。(第14条、第15条)
工業情報化分野のデータ取扱者は、送信されるデータの種類や等級、適用場面に応じたセキュリティポリシーを策定し、それに基づいて適切な保護措置を講じる必要がある。
特に、重要データや核心データを送信する際には、検証技術や暗号化技術、安全な送信チャネルやプロトコルを用いることが求められる。
また、外部にデータを提供する場合、提供するデータの範囲や条件、手順を明確にし、特に重要データや核心データについては、データ取得者とデータセキュリティ契約を締結し、取得者のセキュリティ保護能力を確認した上で必要な保護措置を講じる必要がある。
さらに、データを開示する前には、国家安全や公共利益への影響を慎重に分析し、重大な影響が予想される場合は開示を控えなければならない。(第17条、第18条、第19条)
工業情報化分野のデータ取扱者は、データの全ライフサイクルの処理において、データ処理、権限管理、人員操作などのログを記録する。
ログの保管期間は6か月以上とする。(第25条)
目次
第一章 総則
第一条
第二条
第三条
第四条
第五条
第六条
第二章 データ分類分級管理
第七条
第八条
第九条
第十条
第十一条
第十二条
第三章 データの全ライフサイクルセキュリティ管理
第十三条
第十四条
第十五条
第十六条
第十七条
第十八条
第十九条
第二十条
第二十一条
第二十二条
第二十三条
第二十四条
第二十五条
第四章 データセキュリティの監視、早期警告及び緊急管理
第二十六条
第二十七条
第二十八条
第二十九条
第五章 データセキュリティの検証、認証、評価管理
第三十条
第三十一条
第六章 監督検査
第三十二条
第三十三条
第三十四条
第七章 法律責任
第三十五条
第三十六条
第八章 附則
第三十六条
第三十七条
第三十八条
第三十九条
第四十条
第四十一条
第四十二条
基礎情報
| 法令(現地語) | |
| 法令(日本語) | 工業情報化分野におけるデータ安全弁法(試行) |
| 公布日 | 2022年12月08日 |
| 所管当局 |
作成者
株式会社先読
この続きは有料会員になるとお読みいただけます。
ログインして続きを読む
