中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ～「公安機関インターネットセキュリティー監督検査規定」の概要～
2020/09/24   海外法務, 情報セキュリティ, 外国法

 

GBL研究所理事　浅井敏雄^[1]

はじめに

ご存じの通り、香港では、本年(2020年)6月に「香港国家安全維持法」[2]が施行されました。同法はその施行直後から反体制活動の取締りに用いられていますが、同法の背景には、中国本土で2015年に施行された「国家安全保障法」^[3]と同様、「総合的国家安全保障観」という思想・政策があると思われます。

この「総合的国家安全保障観」とは、経済、文化、科学技術、資源等も含む幅広い分野において包括的・統一的に国家安全保障（治安維持を含む）の実現を目指す思想・政策です。これには情報・データの安全保障も含まれており、「中国サイバーセキュリティー法」[4]（以下「CSL」という）はこの思想・政策に基づく一連の動き・法律の一つとして制定されています[5]。

CSLは、中国で事業をしている日本企業の法務部門にとり、CSLの一部である個人情報の保護およびデータ・ローカライゼーション（中国国内でのデータ保存）に関する規定が特に関心の高いものですが、中国公安部[6](Ministry of Public Security)(MPS)により制定されたCSL執行法とも言うべき「公安機関インターネットセキュリティー監督検査規定」[7]（2018年11月施行)（以下「本規定」という）にはこの「総合的国家安全保障観」が色濃く反映されています。

本規定によれば、公安機関は国家安全保障、インターネットセキュリティー、違法情報の公開・送信防止等の観点から企業に対し現地検査（立入検査）および遠隔検査（システム侵入テスト等）を行うことができるとされており、実際、日本企業の中国企業に対しても行われているようです[8]。

本稿では、中国で事業をしている日本企業の情報セキュリティーに極めて重大な影響を及ぼし得る本規定について解説します。

本稿のまとめ

本規定の概要は後述の通りですが、以下に日本企業の観点から特に重要と思われる事項をまとめています。

監督検査は人民警察により行われる。 現地検査では、コンピュータ室等への立入り調査、担当者等からの聴取、検査対象企業の情報・データ（企業秘密、知的財産を含む）の閲覧・コピー、情報セキュリティーのチェック等が行われる。 遠隔検査には検査対象企業のシステムへの「侵入テスト」が含まれると思われる。人民警察はその際専門業者の支援を受けることができる。遠隔検査では、検査対象企業が気づかない内に、自社システムに侵入され、その情報セキュリティーに関する情報、自社保有情報・データが公安機関にチェックおよび入手され他の政府機関等に提供される可能性があると思われる。 監督検査は、国家安全保障、インターネットセキュリティー、違法情報の公開・送信防止、テロリズム防止等の観点から行われるから非常に広範になる可能性がある。また、監督検査は検査対象企業のシステムに繋がっている中国国内外の顧客企業、関連会社等のシステムにも及ぶ可能性があると思われる。 人民警察が監督検査で発見した情報セキュリティーの不備、禁止情報の公開・送信、その他サイバーセキュリティー法(CSL)・反テロリズム法・刑法等の違反、検査不協力等については、検査対象企業および担当者等が処罰される。 以上のような結果を回避するには、情報セキュリティーの強化、監督検査への対応体制・手順の確立が必要と思われる。また、中国国内外の顧客企業、関連会社等のシステムとの分離等も検討する必要があると思われる。

本規定の目的

警察法、サイバーセキュリティー法（CSL）その他関連法令に従い、公安機関によるインターネットの安全の監督および検査[以下「監督検査」という]について定め、ネットワーク犯罪を防止し、ネットワークの安全を維持し、公民・法人その他組織の合法的権利・利益を保護することである(1)（数字は条文番号。[　　]内は筆者による追記・補足等）。

本規定の適用対象・執行機関

本規定は、インターネットサービスプロバイダーおよびネットワーク利用単位[以下「検査対象者」と総称する]による法令に定めるネットワーク安全義務の履行に対する公安機関による安全検査に適用される(2,3)。

[「ネットワーク利用単位」とはインターネットに接続された5台以上のコンピュータを有する組織と解されているようである[9]。この「公安機関」とは、具体的には各地の公安局・公安庁(Public Security Bureau：PSB。警察・公安・治安業務を行う)を意味するとされる[10]。人民警察（民警）が実施部隊である。]

公安機関の秘密保持義務

公安機関およびその職員は、監督検査の遂行上知り得た個人情報、プライバシー、営業秘密および国家機密を厳に秘密保持しこれを他人に開示、販売しまたは違法に提供してはならない(5)。

[上記の「他人」に中国の他の政府機関（例：国家安全部（情報機関）、軍）、共産党、国有企業等が含まれるのか否かは不明。含まれないとすれば監督検査により公安機関（人民警察・公安部）が入手した情報はこれらに提供可能ということになる。また、むしろ次のような規定がある。]

監査検査中に発見された事項の関係部門への報告

公安機関は、監督検査中に発見した国の安全保障、公安または社会秩序を危険にさらすおそれがあるネットワーク安全リスクを、関係規制部門に速やかに報告するものとする(6)。

[関係規制部門の限定はないが、これには国家安全部（情報機関）、軍等が含まれ得ると思われる。]

監督検査の対象事項

公安機関は、検査対象者が以下に例示する法令[CSL 21等]上の義務を履行しているか否かに関し監督検査を行う(9,10)。

①ネットワーク利用単位としての届出並びにその基本情報およびその変更の届出

②ネットワーク安全管理体制およびその運営規則の制定・実施、ネットワーク安全責任者の指名

③ユーザ登録情報およびユーザのオンラインログの記録・保存[最低6か月(CSL 21)]

④コンピュータ・ウィルス、ネットワーク攻撃、ネットワーク侵入等の防止措置

⑤違法情報の公開・送信防止

⑥国家安全保障・テロ行為防止・犯罪捜査に関する公安機関への技術サポートまたは協力

⑦ネットワーク等級安全保護(Multi-Level Protection Scheme)(MLPS)、その他法令で定める義務の履行

[上記より監督検査項目は、検査対象者の情報セキュリティーおよび保有情報全般（従業員・顧客企業・関係会社の情報を含む）に及び得ると思われる。]

上記に加え、公安機関は、インターネットサービスの種類に応じた事項の監督検査を実施するものとする（例：インターネットアクセスサービス：ネットワークアドレスおよびその割当・利用の記録・保存）(11)。

監督検査の手段

公安機関は、監督検査を現地または遠隔で行うことができる(13)。

現地検査(立入検査)

公安機関が現地での監督検査を実施する場合、2名以上の人民警察職員がこれを行い、かつ、人民警察職員身分証明書および県級以上の地方政府公安機関が発行した監督検査通知を提示しなければならない(14)。

公安機関は、現地での監督検査実施上、必要に応じ、次の事項を実施することができる(15)。

①事業施設、コンピュータ室その他職場に立入ること。

②検査対象者の担当者またはネットワーク安全管理者（以下「担当者等」という）に監督検査事項に関し説明を求めること。

③監督検査事項に関係する情報を閲覧および複製すること。

④ネットワークおよび情報セキュリティーの技術的措置を検査すること。

[現地検査の事前の通知または公示は要求されていない。但し、実務上は事前通知がなされることもあるようである[11]。]

遠隔検査(システム侵入テスト等)

公安機関は、検査対象者に対し、ネットワークセキュリティー上の脆弱性がないか遠隔検査を行うことができる。

この場合、公安機関は、事前に、検査時期、範囲その他の事項を検査対象者に通知するかまたは公示するものとし、検査対象者のネットワークの正常な運営を妨げてはならない。（以上16）

[「ネットワークセキュリティー上の脆弱性がないかの遠隔検査」であるからいわゆる「侵入テスト」を含むと思われる[12]。検査範囲の限定はないから、検査対象者である中国企業だけでなくその企業のシステムに繋がっている顧客企業、外国にある親会社等のシステムに及ぶ可能性がある。検査対象者がクラウドサービス提供事業者である場合、クラウドサービス提供事業者のクラウド上に保存されているユーザ企業のデータが遠隔検査されてもユーザ企業はそのことを知り得ないように思われる。]

第三者の技術支援を利用した監督検査

公安機関は、現地監督検査または遠隔検査を実施する場合、関係する技術能力を有するネットワークセキュリティーサービス組織から技術支援を受けることができる(17)。

[従って、遠隔検査を高度のシステム侵入技術を有する民間業者の支援を受けることも可能と思われる。]

監督検査の実施記録

公安機関は、現地監督検査の実施記録を作成しなければならない。この記録は、監督検査を実施した人民警察職員および検査対象者の担当者等により署名されなければならない。担当者等は記録内容に異議がある場合、その内容を説明することができる。担当者等が署名を拒否した場合、人民警察職員は監督検査記録にその旨書き留めなければならない。

公安機関は、遠隔検査を実施した場合、その監督検査記録を作成し、監督検査を実施した2名以上の人民警察職員が署名しなければならない。（以上18）

[遠隔検査の場合、検査対象者に対する通知でなく公示する場合その方法の限定はない。また、遠隔検査の記録を検査対象者に提示することは要求されていない。従って、検査対象者が全く気付かない内に侵入テスト等が行われ、社内のセキュリティー状況、情報等が公安機関に見られ複製入手されている可能性があると思われる。]

是正命令

公安機関は、検査対象者におけるネットワークセキュリティーに対する潜在的リスクを発見した場合、当該潜在的リスクを除去するための措置を講じるよう命じ、その旨監督検査記録に記録するものとする。

公安機関が違法行為を発見したがその内容が軽微な場合または有害な結果が生じていない場合、検査対象者に対し指定期限までに是正すべきことを命じなければならない。

検査対象者は、指定期限前に是正措置を完了したと判断した場合、公安機関に再審査申請書を提出することができる。

公安機関は、是正期間満了日または再審査申請書受領日から3営業日以内に是正状況を審査し、その結果を審査完了後3営業日以内に通知しなければならない。（以上19）

違反に対する制裁

【発見された違法行為に対する制裁】

公安機関は、監督検査において検査対象者が以下のいずれかのCSL違反に該当することを発見した場合、CSLに定めるところにより検査対象者・担当者等を処罰（制裁金、営業停止、Webサイト閉鎖、営業許可取消等）をしなければならない(21)。

（1）ネットワークセキュリティーの管理体制または運用手続の確立・実施義務またはネットワークセキュリティー責任者任命義務に違反した場合。

（2）コンピュータ・ウィルス、ネットワーク攻撃、ネットワーク侵入その他ネットワークセキュリティーに対するリスク防止のための技術的措置を講じていなかった場合。

（3）ユーザの登録情報またはオンラインログ情報を記録・保存すべき義務に違反した場合。

（4）インターネット上での情報公開、インスタントメッセージング等のサービス提供において、ユーザに真実の身元情報を要求すべき義務または真実の身元情報を提供しない者へのサービスの提供拒否義務に違反した場合。

（5）インターネット上での情報公開サービスの提供において、公開・送信が禁止されている情報に対する対応（送信停止・削除等）義務および関連情報を記録すべき義務に違反した場合。

（6）公安機関による国家安全保障、犯罪捜査に対する技術支援その他協力義務に違反した場合。

上記（4）～（6）の行為が「反テロリズム法」[13]違反に該当する場合には同法に定めるところにより検査対象者・担当者等に罰金を課しまたは拘留する(21)。

[ここでいう「反テロリズム法」違反とはテロ活動の防止・調査への協力拒否、テロリズム・過激主義の情報の送信停止・削除の不実施、同情報流布、ユーザの身元確認不実施等である（同法84,86）。]

【監督検査協力拒否等への処罰】

検査対象者が監督検査への協力を拒否しもしくはこれを妨害した場合またはテロ対策への協力を拒否した場合CSLに従い処罰する(26)。

【公安管理違反または犯罪に該当する場合】

本規定の違反行為が公安管理の違反に該当する場合は法令に従い処罰され、また、犯罪に該当する場合には法令に従い刑事責任を追及されるものとする(27)。

 

【注】

　　　　　　　　　

[1] 【本稿の筆者】　一般社団法人GBL研究所理事／UniLaw 企業法務研究所代表　浅井敏雄（Facebook）

[2] 【香港国家安全維持法】　（参考）森・濱田松本法律事務所 「中国最新法令<速報>」2020年7月10日号（No.331) I-1.「香港特別行政区国家安全維持保護法」 p 1-6

^[3] 【中国国家安全保障法】　「中华人民共和国国家安全法」　（和訳）岡村　志嘉子「中国の新たな国家安全法制―国家安全法と反テロリズム法を中心に―」『外国の立法 267』（2016-3）（国立国会図書館）（「岡村」）p230-240（岡村による国家安全保障法の訳)

[4] 【中国サイバーセキュリティー法】　「中华人民共和国网络安全法」（2017年6月1日施行）。日本語では「インターネット安全法」と訳されることもある。英語では、「Cybersecurity Law」と訳されることが多い。（和訳）(1)ジェトロ掲載の（北京市）大地法律事務所仮訳（和訳）：「ネットワーク安全法」。(2)JEITA掲載の和訳：「中華人民共和国サイバーセキュリティー法」 （英訳）　“2016 Cybersecurity Law”　（解説書）浅井敏雄「中国サイバーセキュリティー法（インターネット安全法）: データ・ローカライゼーションと個人データ保護」　2017年10月（「浅井」）

[5] 【「総合的国家安全(保障)観」およびこれに基づく一連の動き・立法】　国家安全委員会の創設（2014年11月決定）、反スパイ法（「中华人民共和国反间谍法」）（2014年11月）、国家安全保障法（「中华人民共和国国家安全法」）（2015年7月）、反テロリズム法（「中华人民共和国反恐怖主义法」）（2015年12月）等。（参考）「岡村」p223-225

[6] 【公安部】　中華人民共和国の警察を担当する中央官庁である。（参考）「中華人民共和国公安部」　Wikipedia

[7] 【「公安機関インターネットセキュリティー監督検査規定」】　主に以下を参考とした。（条文）（原文）「公安机关互联网安全监督检查规定」, （英訳）“Provisions on Public Security Organs' Internet Security Oversight and Inspections”　2018/10/06, China Law Translate, （解説）　(1) 本間隆浩・森規光「中国最新法律事情（226）公安機関によるインターネット安全監督検査規定」 2018年12月15日, 国際商事法務　Vol. 46 No. 12. p 1722-1726. (2) Steve Dickinson "China’s New Cybersecurity System: There is NO Place to Hide" October 7, 2019, China Law Blog, Harris Bricken Sliwoski, LLP.（「Steve Dickinson」）. (3) Yan Luo, Ashden Fein, Huanhuan Zhang and Moriah Daugherty "China Releases New Regulation on Cybersecurity Inspection" October 23, 2018, COVINGTON & BURLING LLP.（「Yan Luo他」）. (4) Reed Smith LLP - Xiaoyan Zhang, Ariana Goodell and Danielle M. Liebl "China’s new cybersecurity inspection regulation signals broad PSB authority" November 2 2018, Lexology.（「Xiaoyan Zhang他」）. (5) Morgan Lewis & Bockius LLP - Dora Wang and Mark L. Krotoski "China Issues New Rules Strengthening Local Authorities’ Power to Enforce Cybersecurity and Data Privacy Laws" October 30 2018, Lexology. (6) Vinson & Elkins LLP - Jessica S. Heim, Michael C. Holmes and Gian Gualco-Nelson "Big Brother! China Doubles-Down On Ability to Monitor and Collect Data" June 27 2019, Lexology.（「Jessica S.他」）. (7) Jordan Kelly "What To Know About China's New Cybersecurity Inspections" Law360（「Jordan Kelly」）

[8] 【日本企業の中国拠点に対する監督検査の実施状況】 新村僚「中国サイバーセキュリティー法対応‐説明準備できていますか？」　2020年 9月 13日, Internet Initiative Japan Inc.（「新村」）

[9] 【「ネットワーク利用単位」の意味】　「Jessica S.他」

[10] 【「公安機関」の意味】 「Yan Luo他」、「Xiaoyan Zhang他」

[11] 【現地検査の事前通知】　「新村」によれば事前に電話連絡がありその後1週間以内に公安が訪問し現地検査した例が紹介されている。

[12] 【遠隔検査の意味】　（参照）「Steve Dickinson」,「Jordan Kelly」はこれを侵入テスト(penetration test)であるとする。侵入テスト(penetration test)とは、「ペネトレーションテスト」(Wikipedia)によれば、ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法のこと。侵入実験または侵入テストとも言われる」と説明されている。

[13] 【反テロリズム法】　（原文）「中华人民共和国反恐怖主义法」、（英訳）ChinaLawTranslate.com "Unofficial Translation of the Counter-Terrorism Law of the People's Republic of China" US-China Business Council. （解説） 「岡村」 p 227-229