ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

データ輸出セキュリティ評価法のパブコメ開始

中国サイバースペース管理局が「データ輸出セキュリティ評価規則(数据出境安全评估办法)」のパブリックコメントを2021/10/28開始した。「サイバーセキュリティ法(网络安全法)」「データセキュリティ法(数据安全法)」「個人情報保護法」にもとづく新しい規則とのこと。

www.cac.gov.cn

個人情報、データの輸出セキュリティ評価については、同局がすでに以下の規則(办法)のパブコメ稿を出しており、事実上施行されているのでややこしい。

2017/04/11「個人情報と重要データ輸出セキュリティ評価規則(个人信息和重要数据出境安全评估办法)」(根拠法「国家安全法」「サイバーセキュリティ法」)

国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

2019/06/13 「個人情報輸出セキュリティ評価規則(个人信息出境安全评估办法)」(根拠法「サイバーセキュリティ法」)

国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

まず今回の「データ輸出セキュリティ評価規則」を要約してみる。

例によって筆者は法律の専門家ではないので、この要約をゆめゆめ実務に利用されぬよう。

「データ輸出セキュリティ評価規則」要約

適用対象
  • データ処理者が国内で運営中に収集、生成した重要データと、法に基づいてセキュリティ評価をする必要のある個人情報を、国外に提供する場合
評価が必要になる場合
  • 重要情報インフラ施設運営者が収集、生成した個人情報と重要データ
  • 輸出データに含まれる重要データ
  • 個人情報処理件数が100万人分以上である個人情報処理者が輸出する場合
  • 国外に提供する個人情報の累計が10万人分以上、または個人のセンシティブ情報の累計が1万人分以上の場合
  • 国家通信情報部門が規定するその他の場合
輸出前の自己評価項目
  • データ輸出と受領者のデータ処理の目的、範囲、方式などの合法性、正当性、必要性
  • 輸出するデータの数量、範囲、種類、機微の程度、データ輸出が国家安全、公共の利益、個人または組織の合法的権益にもたらすリスク
  • データ処理者がデータ移転する際の管理、技術措置、能力などによってデータ漏えい、毀損などのリスクを防止できるか
  • 国外の受領者が責任義務を承諾し、責任義務を履行する管理・技術措置、能力などによって輸出データのセキュリティを保障できるか
  • データ輸出と再移転後の漏えい、毀損、改ざん、濫用などのリスク、個人が個人情報の権益を維持するための連絡経路が円滑か
  • 国外の受領者と締結したデータ輸出に関する契約がデータセキュリティ保護の責任義務を十分規定しているか
自己評価の当局への申請時に提出が必要な資料
  • 申請書
  • データ輸出リスク自己評価報告
  • データ処理者と国外受領者が締結した契約またはその他法的効力を有する文書など
  • セキュリティ評価作業に必要なその他資料
当局が申請を受けて改めて評価する項目
  • データ輸出の目的、範囲、方法などの合法性、正当性、必要性
  • 国外受領者が存在する国家・地区のデータセキュリティ保護政策法規とサイバーセキュリティ環境が、輸出データのセキュリティに影響するか。国外受領者のデータ保護レベルが中国の法律、行政法規の規定と国家標準の強制力のある要求に達しているか
  • 輸出するデータの数量、範囲、種類、機微の程度、輸出中と輸出後の漏えい、改ざん、紛失、破壊、移転または不法な取得、不法な利用などのリスク
  • データセキュリティと個人情報の権益が十分有効な保障を得られるか
  • データ処理者と国外受領者の締結した契約がデータセキュリティ保護責任義務を十分に規定しているか
  • 中国の法律、行政法規、部門規章の遵守
  • 国家通信情報部門が評価が必要と認めるその他事項
データ処理者と受領者の契約が最低限含むべき内容
  • データ輸出の目的、方法とデータの範囲、国外受領者のデータ処理の用途、方法など
  • データの国外保存場所、期限、保存期間の到達、契約目的の完成、契約終了後の、輸出データ処理措置
  • 国外受領者が輸出データをその他組織、個人へ再移転することを制限する条項
  • 受領者の実際の管理権または経営範囲に実質的変化があり、または所在する国家、地区の法環境に変化があり、データセキュリティの保障が困難になった場合に、とるべき安全措置
  • データセキュリティ保護義務に違反した場合の違約責任と拘束力をもち執行可能な争議解決条項
  • データ漏えいなどリスク発生時の、妥当な応急処置の実施、個人が個人情報の権益を維持するための円滑な連絡経路
処罰
  • 「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」などの法律に基づく
その他
  • 当局は申請書受理後7稼働日以内に、受理するかどうかを書面で通知
  • 当局は申請書受理通知後、45稼働日以内、最長でも60稼働日以内にセキュリティ評価を完了
  • データ輸出評価結果は状況に変化がない限り2年間有効
  • いかなる組織、個人も本法に基づかないデータ輸出活動を発見した場合は当局に通報できる

以上が「データ輸出セキュリティ評価規則」の要約。

ついでに2017年「個人情報と重要データ輸出セキュリティ評価規則」、2019年「個人情報輸出セキュリティ評価規則」も要約してみる。

2017年規則は数量基準が今回2021年規則と明らかに異なるが、どこかで廃止されたのかどうかまで調べ切れていない。

2017年「個人情報と重要データ輸出セキュリティ評価法」

適用対象
  • ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
  • 定期評価:業界の主管組織または監督部門。輸出前評価:自己評価。
評価項目
  • 輸出の必要性
  • 個人情報:数量、範囲、類型、機微の程度、本人からの輸出同意有無
  • 重要データ:数量、範囲、類型、機微の程度
  • データ受領者の安全保護措置、能力、レベル、受領者の国家・地区のサイバーセキュリティ環境
  • データ輸出および再移転後の漏えい、毀損、改ざん、濫用などのリスク
  • データ輸出および輸出データの集約が国家安全、社会公共の利益、個人の合法的利益にもたらすリスク
  • その他評価の必要な重要事項
評価が必要な情報
  • 合計または累計50万人以上の個人情報
  • 1000GBを超えるデータ量
  • 核施設、化学生物、国防軍事工場、人口、健康などの領域のデータ、大型プロジェクト活動、海洋環境および機密地理情報データなど
  • 重要情報インフラ施設の脆弱性、セキュリティ保護などを含むサイバーセキュリティ情報
  • 重要情報インフラ施設運営者が国外に提供する個人情報と重要データ
  • その他国家安全、社会公共の利益に影響する可能性があり、業界の主管組織または監督部門が評価すべきと認めたもの
輸出禁止の場合
  • 個人情報を本人の同意を得ずに輸出する場合、個人の利益を侵害する可能性のある場合
  • データ輸出が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
  • その他国家通信情報部門、公安部門、安全部門など関連部門が輸出してはならないと認めた場合
処罰
  • 関連する法律に基づいて処罰

2019年「個人情報輸出セキュリティ評価法」

適用対象
  • ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
  • 自己評価した上で所在地の省クラスの通信情報部門に報告。 (異なる提供先ごとに評価と報告が必要)
評価項目
  • 国家の関連する法規と政策規定に適合するか
  • 提供先との契約が個人情報主体の合法的権益を十分保障できるか
  • 契約が有効に執行されるか
  • ネットワーク運営者または受領者が個人情報主体の合法的権益を毀損した履歴がないか、重大なサイバーセキュリティ事故を起こしていないか
  • ネットワーク運営者が個人情報を合法、正当に取得したか
  • その他評価すべき内容
輸出禁止の場合
  • 個人情報を本人の同意を得ずに輸出する場合、個人の利益を侵害する可能性のある場合
  • データ輸出が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
  • その他国家通信情報部門、公安部門、安全部門など関連部門が輸出してはならないと認めた場合
処罰
  • 関連する法律に基づいて処罰

中国「ネットワーク製品セキュリティ脆弱性管理規定」試訳

中国ではセキュリティリサーチャーが脆弱性を政府に報告する義務がある、という誤解が一部にあるようなので、該当の法律「ネットワーク製品セキュリティ脆弱性管理規定」(2021/9/1施行)の全文を試訳する。

ひとことで言うと、政府に対する報告義務があるのはプロダクトの提供業者であって、しかもそれは政府が設置した脆弱性共有プラットフォームに対してである。

個人や組織が脆弱性を発見した場合は、提供業者に対する報告が奨励されているだけで、脆弱性を見つけたら政府に報告しろ、とはどこにも書かれていない。

「いや、中国は法治国家ではない」という意味不明の勘違いをしている人はまず中国の法執行の実態を勉強しよう。

なお「ネットワーク製品」はネットワークに接続されているソフトウェア、ハードウェア製品すべてのことなので、ネットワーク機器だけでなくIT製品全般を指す。

中国法 「依法治国」の公法と私法 (集英社新書) | 小口 彦太 |本 | 通販 | Amazon

例によって筆者は法律の専門家ではないので、この試訳をゆめゆめ実務に利用されぬよう。

ネットワーク製品セキュリティ脆弱性管理規定

第一条 ネットワーク製品のセキュリティ脆弱性の発見、報告、修正、公開などの行為を規則化し、サイバーセキュリティリスクを防止するため、「中国サイバーセキュリティ法」に基づき、本規定を制定する。

第二条 中国国内のネットワーク製品(ハードウェア、ソフトウェア含む)の提供者とネットワーク運営者、およびネットワーク製品のセキュリティ脆弱性の発見、収集、公開等の活動に従事する組織または個人は、本規定を遵守しなければならない。

(訳注:中国サイバーセキュリティ法の定義では「ネットワーク運営者」には通信事業者だけでなく、ネットワーク製品を利用する一般企業も含まれる)

第三条 中国サイバースペース管理局(CAC)はネットワーク製品のセキュリティ脆弱性管理業務の総合的な調整に責任を負う。工業情報化部はネットワーク製品のセキュリティ脆弱性の総合的な管理に責任を負い、電信・インターネット業界のネットワーク製品のセキュリティ脆弱性の監督管理を担当する。公安部はネットワーク製品のセキュリティ脆弱性の監督管理に責任を負い、法に基づいてネットワーク製品のセキュリティ脆弱性を利用して実施される違法な犯罪活動を取り締まる。

関連する主管部門は部門を跨いで協力を強化し、ネットワーク製品のセキュリティ脆弱性のリアルタイムの共有を実現し、重大なネットワーク製品のセキュリティ脆弱性リスクに対して共同で評価と処置を行う。

第四条 いかなる組織または個人もネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティ活動に危害を加える活動に従事してはならず、不法にネットワーク製品のセキュリティ脆弱性情報を収集、販売、公開してはならない。他者がネットワーク製品のセキュリティ脆弱性を利用し、ネットワークセキュリティ活動に従事していることが明らかな場合、そのための技術支援、広告宣伝、決済などの支援をしてはならない。

第五条 ネットワーク製品提供者、ネットワーク運営者とネットワーク製品のセキュリティ脆弱性収集プラットフォームは、ネットワーク製品のセキュリティ脆弱性情報の健全な受理チャンネルを構築するとともにとどこおりなく運営を維持し、ネットワーク製品のセキュリティ脆弱性情報の受理履歴を少なくとも6か月間保存しなければならない。

第六条 関連する組織と個人はネットワーク製品提供者に対して、その製品に存在するセキュリティ脆弱性を通報することが奨励される。

第七条 ネットワーク製品提供者は以下のネットワーク製品のセキュリティ脆弱性管理義務を実施し、その製品のセキュリティ脆弱性がすみやかに修正され合理的に発表されることを確保するとともに、製品のユーザーに防護措置をとるよう指導指示しなければならない。

(一)提供されたネットワーク製品のセキュリティ脆弱性を発見または知り得た後、ただちに措置をとるとともに組織的にセキュリティ脆弱性に対する検証を実施し、セキュリティ脆弱性の危害の程度と影響範囲を評価しなければならない。その上流製品やモジュールにセキュリティ脆弱性が存在する場合、ただちに関連する製品提供者に通知しなければならない。

(二)2日以内に工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームに関連する脆弱性情報を報告しなければならない。報告内容には、ネットワーク製品のセキュリティ脆弱性が存在する製品名称、型番、バージョンと脆弱性の技術的特徴、危害と影響範囲などを含めなければならない。

(三)ネットワーク製品のセキュリティ脆弱性に対する修正をすみやかに組織的に行わなければならず、製品を必要とするユーザー(下流ベンダーを含む)に対してソフトウェア、ハードウェアのバージョンアップなどの措置を行う場合は、すみやかにネットワーク製品のセキュリティ脆弱性リスクと修正方法を、影響を受ける可能性のある製品ユーザーに告知し、必要な技術サポートを提供しなければならない。

工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームは並行して、国家ネットワーク情報セキュリティ通報センター、国家コンピュータネットワーク緊急対応技術処理コーディネーションセンター(訳注:二つまとめてCNCERT/CCのこと)に関連する脆弱性情報を報告する。

ネットワーク製品提供者はネットワーク製品のセキュリティ脆弱性報告奨励制度を構築し、ネットワーク製品のセキュリティ脆弱性を発見ならびに報告した組織または個人に報奨を与えることが奨励される。

第八条 ネットワーク運営者はそのネットワーク、情報システムとその設備にセキュリティ脆弱性が存在することを発見した後、ただちに措置を講じ、すみやかにセキュリティ脆弱性に対する検証と修正を完了させなければならない。

第九条 ネットワーク製品のセキュリティ脆弱性の発見、収集に従事する組織または個人は、ネットワーク上のプラットフォーム、メディア、会議、競技大会などの方法で、社会に対してネットワーク製品のセキュリティ脆弱性情報を公開する場合、必要、真実、客観性およびネットワークセキュリティリスク防止の原則を遵守するとともに、以下の規定を守らなければならない。

(一)ネットワーク製品提供者がネットワーク製品のセキュリティ脆弱性修正措置を提供する前に、脆弱性情報を公表してはならない。提供前に脆弱性を公表する必要があると認識した場合は、関連するネットワーク製品提供者と共同で評価と協議を行うとともに、工業情報化部、公安部に報告し、工業情報化部、公安部が組織的に評価を行った後に公表しなければならない。

(二)ネットワーク運営者は利用するネットワーク、情報システムとその設備に存在するセキュリティ脆弱性の詳細な状況を公表してはならない。

(三)ネットワーク製品のセキュリティ脆弱性の危害とリスクを故意に誇張してはならず、ネットワーク製品のセキュリティ脆弱性情報を利用して悪意のデマの拡散、詐欺、脅迫など違法な犯罪活動を行ってはならない。

(四)ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害をおよぼす活動専用のプログラムとツールを公表してはならない。

(五)ネットワーク製品のセキュリティ脆弱性を公表する際は、同時に修正または防護措置を発表しなければならない。

(六)国家が重要な活動を行っている期間は、公安部の同意を経ずして、ネットワーク製品のセキュリティ脆弱性情報を勝手に公表してはならない。

(七)未公開のネットワーク製品のセキュリティ脆弱性情報をネットワーク製品提供者以外の国外の組織または個人に提供してはならない。

(八)法律法規その他関連する規定

第十条 いかなる組織または個人もネットワーク製品のセキュリティ脆弱性情報収集プラットフォームを構築する場合は、工業情報化部に申請しなければならない。工業情報化部はすみやかに公安部、サイバースペース管理局に関連する脆弱性情報収集プラットフォームを報告するとともに、申請を通過した脆弱性情報収集プラットフォームを公開する。

ネットワーク製品のセキュリティ脆弱性を発見した組織または個人は、工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォーム、国家ネットワーク情報セキュリティ通報センター、国家コンピュータネットワーク緊急対応技術処理コーディネーションセンター、中国情報セキュリティ評価センター脆弱性データベース(訳注:CNVデータベースのこと)にネットワークセキュリティ脅威と脆弱性情報を報告することが奨励される。

第十一条 ネットワーク製品のセキュリティ脆弱性発見、収集に従事する組織は内部管理を強化し、ネットワーク製品のセキュリティ脆弱性情報の漏えいと規則に反した公表を防止する措置をとらなければならない。

第十二条 ネットワーク製品提供者が本規定に基づくネットワーク製品のセキュリティ脆弱性の修正または報告措置をとらない場合、工業情報化部、公安部が各自の職責と法に基づいて処分を行う。「中国サイバーセキュリティ法」第六十条の規定する状況を構成する場合、同規定に基づき処罰する。

十三条 ネットワーク運営者が本規定に基づくネットワーク製品のセキュリティ脆弱性の修正または防止措置をとらない場合、関連する主管部門が法に基づいて処分する。「中国サイバーセキュリティ法」第五十九条の規定する状況を構成する場合、同規定に基づき処罰する。

第十四条 本規定に違反してネットワーク製品のセキュリティ脆弱性情報を収集、公表した場合、工業情報化部、公安部は各自の職責と法に基づいて処分を行う。「中国サイバーセキュリティ法」第六十二条の規定する状況を構成する場合、同規定に基づき処罰する。

第十五条 ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害を加える活動に従事した場合、または他者がネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害を加える活動に従事するために技術支援を提供した場合、公安機関が法に基づいて処分する。「中国サイバーセキュリティ法」第六十三条の規定する状況を構成する場合、同規定に基づき処罰する。犯罪を構成する場合、法に基づいて刑事責任を追及する。

第十六条 本規定は2021年9月1日より施行する。

以上、試訳でした。

中国のこととなると国家安全保障上の枠組みでしか考えられなくなるのは、中国の脅威を適切に把握する妨げにしかならない。

テンセントの専門家は中国個人情報保護法をどう評価しているか

テンセントの研究員は中国個人情報保護法をどう評価しているか。GoogleアラートでLinkedInの文章がひっかかったので要約してみる。

「中国個人情報保護法」~五つの時代を画する意義 mp.weixin.qq.com

筆者はテンセント研究院主席データ法律政策の専門家王融という人。タイトルにある五つの意義はこんなこと。

  • 20年かけてようやく完成したデータ社会の最後のピース
  • 半世紀かけて先進諸国に追いついたデータ法制
  • 「人のためのデータ社会」のマイルストーン
  • 国際的な法制度との十分なつながり
  • グローバルなデータガバナンスに貢献する中国のアイデア

まず一点目、20年かけてというのは、2003年に中国国務院情報化弁公室が正式に個人情報保護法の立法研究を始めたこと。以下、その後の流れ。

2005年 学者グループが「個人情報保護法」専門家答申を完成 2012年 全国人代の「サイバー情報保護強化にかんする決定」 2013年 「消費者権益保護法」改正 2015年 「刑法」修正案(九) 2016年 「サイバーセキュリティ法」 2017年 「電子商務法」 2017年 「民法総則」 2020年 「民法典」人格権編

これらの流れの上に中国個人情報保護法は2018/09からの草案策定作業を経て2021/08/20公布。2021/11/01施行となる。

中国データ社会の三つの核心的法律は「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」。

二点目、先進国の個人情報保護制度に半世紀かけてやっと追い付きました、という議論の部分は、1970年代以降の欧米個人情報保護法制の立法意義を「プライバシー権」に限定してしまっている。まあ中国なので仕方ない。

三点目、「人のため」の法制度という部分では、個人の信用と信任がないとデータ社会の「文明、民主」は実現できません、なので同意取得とデータ処理の透明性が必要と書かれている。

ここに出てくるのが古典的な疎外論。人間を道具のように扱いって「疎外(异化)」するような個人データの処理はダメですよという話で、欧米だとストレートに基本的人権の概念が入って来るところに「疎外」論が来るのがマルクス主義らしいといえばらしい。

四点目では、国際的な個人データの流通がはっきり意識されていて、そのぶん日本よりマシという気もする。中国個人情報保護法は国際的な法制度と「ほぼ」全面的に基準が合っているとのこと。

ここでは民間企業ではなく、政府による個人データ処理が取り上げられており、政府は法に定められた職責の範囲内で個人情報処理をするという点で、国際的な個人情報保護法制と軌を一にしている、と書かれている。当然ながら疑問符はつく。

ただ、海外の法制度と微妙な違いがあることはちゃんと認識されていて、それが五点目に書かれている。

五点目では、個人の権利利益保護とデータ利用の「バランス」を持ちだし、欧州のGDPRはデータ経済の発展を阻害しているのでは?とサラッとディスってから、万能な法制度は存在せず、国情によって違うんですよと当たり前のことを言っている。

では海外と中国の個人情報保護制度の違いは何かというと、以下のような点が書かれている。

  • 域外適用はするが、限度はある(ふたたびGDPRをディスっているが、本当にそうなら日本企業としてはありがたい)
  • 個人の権利は確立するが、議論の余地のある部分については態度を保留する(中国の人権概念が限定的であることを認めている)
  • 中国で大衆の関心が高い「大数据杀熟」などは特別に条項を作った
  • データの越境については「発展中の国家」としてデータのセキュリティを優先する(出ました「我が国発展途上国です」という言い訳)

最後の部分でふたたびバランス論が登場する。個人の人権保護について、個人データ活用による国家の発展とデータセキュリティの総合的なバランスをとっている点こそ、中国の法制度がグローバルなデータガバナンス制度に貢献できる部分だ、とのこと。

全体としてはテンセントの研究員が中国の個人情報保護法制を海外のそれと比べて経済発展重視、と明言している点がかなり重要かも。

中国データセキュリティ法に基づく地方法が深セン・上海で制定されているらしい

知らない間に中国「データセキュリティ法」を受けた地方法規が出来ているらしい。今のところ深センと上海の2か所。とりあえずこの二市はデータセキュリティ法の具体的な執行についてやる気になっている、ということかどうかは分からない。

例によって筆者は法律の専門家ではなく中国ウォッチャーなので、このブログをゆめゆめ実務に適用されないよう。

筆者がこのことを知ったのはこちらのニュース記事。

finance.sina.com.cn

まず深セン市の方は「深セン経済特区データ条例」で、2021/06/29第七回深セン市人民代表大会常務委員会第二次会議を通過、2022/01/01施行とのこと。

例によって法律が出来た!というニュースはいくらでも見つかるのに、肝心の条文は見つからないというパターンで、深セン市条例の方はあきらめて記事だけをご紹介。

www.echinagov.com

ポイントは「データ権益」という概念。中国個人情報保護法の「個人データ権益」もピンと来ない概念で、データそのものの権利利益はさらに分からない。

どうやらデータは企業などの組織が大量のリソースをかけて産み出したものなので、財産性の権益を持つ、ということらしい。

つまり、データ自体が権利利益を持っているという意味ではなく、データには財産性がある。だから保護しなければならないという意味なんだろう。データが関連する主体(個人)そのものの権利利益を保護する観点が薄いと、データ自体の財産性を持ちだして保護すべき理由とするしかないのかも。

その他、深セン市データ条例のポイントは、個人データ処理の「最小必要」原則。これは利用目的を明確にし、処理対象とするデータの範囲は必要最小限にしなければならない、という分かりやすい話。

また消費者保護のために、いわゆる「大数据杀熟」、つまりECサイトなどが新規ユーザを獲得するために、常連ユーザーに不利で、新規ユーザーに有利な価格を示すなどの差別的待遇を禁じる条文もある。これは個人情報保護法の反トラスト法観点の敷衍としていつも出てくるお話。

深セン市条例ではこの差別的な待遇について、重大な事案の場合は年間売上5%以下、5,000万元を超えない罰金が科せられるとのこと。

さて、次は「上海市データ条例」だが、こちらはまだ草案のパブリックコメント募集段階で、条例の全文が見つかった。

上海市数据条例(草案)(征求意见稿) http://www.spcsc.sh.cn/n8347/n8481/n9119/index.html

草案は上海市人民代表大会常務委員会を2021/09/30に通過、パブコメ期間は2021/10/20まで。

特徴として他のニュース記事で挙げられているのは、「第二章データ権益保障」の下に、生体識別情報(第二十一条)、顔識別技術の運用(第二十二条)、自動化決定(第二十三条)について単独の条文を立てている点。

顔識別技術の運用については、商業施設、公園、公立の文化体育施設、ホテル、オフィスビルなど具体的な場所が列挙され、顔識別設備を設置していることがはっきり分かるようにし、設置責任をもつ組織、使用目的、範囲、保存期間なども通知しなければいけないとある。

続きには「第三章公共データ」として公共部門による公共データ処理についての規制に割かれており、条文全体の過半を占める。第二条の定義によれば「公共データ」とは公共サービス管理を行う組織、行政機関に限らず、電気、水道、公共交通機関なども含めた組織機関が処理するデータのこととなっている。

第四章は「データ要素市場」として、法に基づくデータの共有、公開、交易、価値評価など、資産としてのデータ利用に踏み込んだ内容になっている。

例えば第五十五条はデータの売買をする場合の適正価格評価は、データ売買市場に参加する各主体が自主的に決めることができるが、上海市の主管部門が業界団体に対して売買価格評価のガイドラインを制定するよう指導しなければならないとしている。

あと、個人的な勘で要注意だと思うのは、「第六章 浦東新区データ改革」「第七章 長江デルタ区域データ提携(合作)」と、ズバリの地名がわざわざ章立てされている点。ただ、規制強化という主旨ではなく、データの共有、売買など積極的なデータ活用による産業育成のトーンが強い。

第八章は「データセキュリティ」で中国「データセキュリティ法」をベースにした内容、第九章は罰則規定といった構成。

こうした条例が出来ることで、サイバーセキュリティ等級保護(网络安全等级保护)制度の、各企業に対する自己リスクアセスメント指導など、具体的な行政指導や処罰がどれくらい活発化するのか分からないが、そのきっかけになりかねないので要注意かも、という極めて個人的な印象。

気が向いたので中国CNCERTコーディネーションセンターの週報を読んでみた

中国のJPCERT/CCにあたるCNCERTコーディネーションセンターが毎週だしている週報を気が向いたので読んでみた。2021年第39週、2021/09/20~09/26分。

www.cert.org.cn

こちらCNCERT/CCトップページの上方中央「安全报告(セキュリティ報告)」に「网络安全信息与动态周报-YYYY年第NN期」とあるページが週報の記事で、各記事を開くとPDFファイルで週報が添付されている。

本文をご紹介するのは冗長になるのでチャートだけご紹介。

今週のサイバーセキュリティ基本状況 f:id:todkm:20211004111802j:plain

2021/09/「優/良/中/悪/危」の5段階評価で上から2番目らしい。 その下は良くない事象の件数なので、先週比で減ればグリーン、増えればレッドの矢印。

項目は上から順に… * 国内マルウェア送信回数 * 国内マルウェア感染コンピュータ台数

  • 国内ウェブサイト改ざん数
  • うち政府関連サイト数

  • 国内バックドア設置ウェブサイト数

  • うち政府関連サイト数

  • 国内ウェブサイトになりすましたウェブサイト数

  • 脆弱性増加数

  • うち危険性の高いものの数

下の円グラフはマルウェア配信元サーバーのドメイン名の統計。

左がドメイン登録住所が国内(境内)、国外(境外)、不明(未知)の順。中国国内に被害をもたらしているマルウェア配信元ドメインの半分以上は中国国内のサーバーと分かる。以外に国内⇒国内のマルウェア配布が多い。

右がトップレベルドメインの比率。.CNは21.2%と少なく、中国国内で登録されている.COMドメインからのマルウェア配布が多いと読める。その他国名ではフランス、ロシアがわずかだが存在する。

f:id:todkm:20211004111807j:plain

下の円グラフは左が改ざんされた国内ウェブサイト、右がバックドアを仕掛けられた国内ウェブサイトのトップレベルドメイン

f:id:todkm:20211004111816j:plain

下の円グラフは報告対象週に登録された脆弱性の分布。Webアプリが最多で39.8%、以下アプリケーション、ネットワーク機器、AI機器(Alexaや天猫精灵などの機器のことか)、セキュリティ製品、OSの順。

f:id:todkm:20211004111824j:plain

下の円グラフはCNCERTが処理したセキュリティインシデントの分布。なりすましウェブサイトが70.8%と圧倒的多数、以下脆弱性、スキャン、モバイルマルウェア不正アクセスDoSの順。中国もフィッシングが多いようだ。

f:id:todkm:20211004111833j:plain

右の棒グラフは処理したインシデントのうち、上が海外組織と協力して対応した国内から報告があったインシデント、下が国内組織と協力して対応した国外から報告のあったインシデント。

国外からの通報で国内のインシデントに対応する場合の方が圧倒的に多いことが分かる。

下の棒グラフは、左がなりすましウェブサイトの業種別統計。ほとんどが銀行。右はなりすましウェブサイトのテイクダウンのためにCNCERTに協力したレジストラ別の件数。

アリババテレコム(阿里通信)が最多なのはそもそもシェアが大きいからだろうか。2位の烟台帝思普はサービスブランド名でいえば「DNSPOD」、3位は「Xinnet(北京新网)」とのこと。

f:id:todkm:20211004111839j:plain

報告書の最後にはトピックスとして以下の3つが取り上げられている。

  • 浙江省烏鎮で2021/09/26~09/28開催の2021年世界インターネット大会
  • 国家サイバーセキュリティで先進的取り組みを行った組織や個人を表彰するイベント
  • 工業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規則」などの法律に違反し、ユーザーに危害を加えるスマホアプリが334個を通報

CNCERT/CCが報告をうけたり自ら観測した不正ドメインブラックリストとして下記サイトで公開されているとのこと。

https://share.anva.org.cn/web/publicity/listurl

以上、中国国内に被害をおよぼしているマルウェア配布元が、一つ前の週も57.4%、さらにその前も60.5%と、6割前後国内⇒国内で配布されているのがやや意外だった。