ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

米コロニアル・パイプラインのランサムウェア被害、侵入に悪用された漏えい済みアカウントは多要素認証なし

ランサムウェア被害を受けた米コロニアル・パイプライン、攻撃者の侵入方法は漏えい済みパスワードで、多要素認証もなく、「パスワードは特に脆弱だった」とのこと。やはり2018年外部監査のセキュリティ管理についての指摘が改善されていなかったのでは。 edition.cnn.com

侵入に使われたパスワードは使用されていないVPNアカウントで多要素認証がなかったと、同社のフォレンジック調査を行ったFireEye社がCNNに語ったと。コロニアル社CEOジョセフ・ブラント氏は6/7(月)の週に上院、下院の国土安全保障委員会で攻撃の時系列と会社の対応について詳細を証言するとのこと。

コロニアル社のセキュリティ状況に詳しい情報筋は攻撃当時「ドアは大きく開かれ」「パスワードが特に脆弱だった」と。すでに使用されていないアカウントだったにもかかわらず、攻撃者は不正アクセスに成功したらしい。

ライフラインを支える米国の大企業がこのセキュリティレベルというのは、個人的に驚いてしまう。

中国個人情報保護法の法目的は「個人情報」の保護であって「個人」の保護ではない?

中国個人情報保護法の目的は「個人情報」の権利利益の保護?

前回の記事で個人的な趣味として、中国の個人情報保護法草案全文を試訳したが、この法律の奇妙な点は、第一条、第二条にあるように、法律の目的が「個人情報」の権利利益の保護であって、「個人」の権利利益の保護ではないところだ。

たしかに条文に「個人の権益」が出てくる部分は三か所ある。

第六条の個人情報処理の目的の合理性、処理範囲の最小化の部分に「個人の権益に対する影響を最初化する方法」という文言が、第二回審議稿で追加されている。

第八条では「個人の権益に対する不利な影響」という文言が、第二回審議稿で追加されている。

第二十五条では個人情報の自動処理による決定に関連して「個人の権益に対する重大な影響のある決定」とあり、この部分は第一回審議稿でも「個人が自動化による決定がその権益に重大な影響を生じさせると認識する場合」と、個人の権益が言及されている。

ただ、日本の個人情報保護法が第一条で「個人の権利利益を保護することを目的とする」と明記し、GDPRも第一条に「This Regulation protects fundamental rights and freedoms of natural persons」とあるのと比較すると、法律のその他の部分ではすべて保護されるべきは「個人情報の権益」となっている。

サイバーセキュリティ法の個人情報保護規定はどうなってる?

個人情報に関する規定は、2017年6月1日施行の「網絡安全法(中国サイバーセキュリティ法)」、2021年1月1日施行の「中華人民共和国民法典」にも存在するが、これらの法律で個人の権利利益はどう書かれているか。

まず中国サイバーセキュリティ法 www.cac.gov.cn

こちらは第一条に「公民、法人とその他組織の合法的権益の保護」が登場するが、その目的はあくまで「ネットワークの安全を保障し、サイバー空間の主権と国家安全、社会公共の利益を維持するため」であり、個人の権利利益保護が第一の目的になっていない。(ところで「网络空间主权(サイバー空間の主権)」って何?)

他の部分も同じで、個人の合法的権益が保護されるのは、ネットワークの安全、普及、サービスレベルの改善が目的で、個人の権益の保護そのものが目的になっていない。(第十二条、第十四条)

民法典の個人情報保護規定はどうなってる?

次に中華人民共和国民法http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml

民法典はさすがに第五章民事権利の冒頭、第百九条に「自然人の人身の自由、人格の尊厳は法律の保護を受ける」とある。

そしてすぐ後の第百十一条には以下のように書かれている。

「自然人の個人情報は法律の保護を受ける。いかなる組織あるいは個人も他社の個人情報を取得する場合、法に基づいて取得し、かつ情報の安全を確保しなければならない。他者の個人情報の不法な収集、使用、加工、伝達をしてはならず、他者の個人情報の不法な売買、提供あるいは公開をしてはならない」

さらに第六章が「プライバシーと個人情報の保護」に割かれており、第一千三十四条以下に自然人の個人情報保護の規定がある。

参考までにその部分を試訳する。

第一千三十四条

自然人の個人情報は法律の保護を受ける。 個人情報は電子あるいはその他の方法で記録された、単独あるいはその他の情報との結合で特定の自然人を識別できる各種情報をいい、自然人の氏名、生年月日、身分証明書番号、生体識別情報、住所、電話番号、電子メールアドレス、医療情報、行動情報等を含む。 個人情報のうちプライバシー情報には、プライバシー権に関する規定が適用される;規定がない場合は、関連する個人情報保護の規定が適用される。

第一千三十五条

個人情報を処理する場合、合法、正当、必要の原則を遵守し、過度な処理をしてはならず、以下の条件に符合しなければならない: (一)当該自然人あるいはその保護監督者の同意を得ること、ただし法律、行政法規その他の規定がある場合を除く; (二)情報処理の規則を公開すること; (三)情報処理の目的、方法と範囲を明示すること; (四)法律、行政法規の定めと双方の事前の取り決めに違反しないこと; 個人情報の処理は個人情報の収集、保存、使用、加工、伝達、提供、公開等を含む。

第一千三十六条

個人情報の処理は、以下の状況のうち一つに当てはまる場合、行為者は民事責任を負わない: (一)当該自然人あるいはその保護監督者の同意の範囲内で合理的に実施される行為; (二)当該自然人が自ら公開あるいはその他すでに合法的に公開されている情報の合理的な処理、ただし当該自然人が明確に拒否あるいは当該処理がその重大な利益を侵害する場合を除く; (三)公共の利益あるいは当該自然人の合法的な権益を守るために、合理的に実施されるその他行為。

第一千三十七条

自然人は法に基づいて情報処理者からその個人情報を閲覧あるいは複製することができる;情報の誤りに気付いた場合、異議を提出するとともに速やかに訂正等の必要な措置を講じるよう求める権利を有する。

自然人が情報処理者が法律、行政法規の規定あるいは双方の事前の取り決めに違反してその個人情報を処理していることに気付いた場合、情報処理者に速やかに削除を求める権利を有する。

第一千三十八条

情報処理者はその収集し、保存した個人情報を漏えいあるいは改ざんしてはならない;自然人の同意を経ずに、他者に対して不法にその個人情報を提供してはならない、ただし特定個人を識別できず、かつ復元不能な加工を経ている場合を除く。

情報処理者は技術的措置とその他必要な措置を講じ、その収集、保存する個人情報の安全を確保し、情報の漏えい、改ざん、紛失を防止しなければならない;個人情報の漏えい、改ざん、紛失が発生あるいは発生する可能性のある場合、速やかに対応措置を講じ、規定に基づいて自然人に告知するとともに関連主管部門に報告しなければならない。

第一千三十九条

国家機関、行政職能を担当する法定機関およびその職員は職責の履行の過程で知り得た自然人のプライバシーと個人情報に対して、秘密を保護しなければならず、漏えいあるいは他者に不法に提供してはならない。

ここまでが中華人民共和国民法典の中にある個人情報についての規定。

民法典にはこのような原則レベルの規定があり、サイバーセキュリティ法には個人情報処理事業者の重要性別に、講じるべき安全措置や罰則について細かく定められているので、個人情報保護法をわざわざ定めなくても、ガイドラインだけで十分運用できるのでは、という気もする。

GDPRにならってアジア圏でもGDPR的な法律を制定する流れがあるので、国内向けのポーズとしても、乗り遅れないようにしたいのだろうか。

いずれにせよ中国の法律の「自然人の自由」は空文なので…

また、中国の個人情報保護法では、日本法の「個人情報取扱事業者」のように、字面で見るとGDPRprocessorっぽく見える「個人情報処理者」が、じっさいにはcontrollerとして取得した個人情報の管理責任を持っている。

他方では、日本法には存在せず、GDPRには存在する「自動処理による決定」から個人の権利利益の保護する規定を取り入れてみたり、各国の個人情報保護法制のつまみ食いをしている感もある。

法律の専門家でもないのにこんないい加減なブログを書いていいのか、というツッコミが入りそうだが、個人的に所属組織の実務で致命的な間違いを犯さない程度に理解できればよいので、情報の整理のために書いている。

いずれにせよ今回の個人情報保護法も、じっさいの適用は省によって差が大きく、かなり恣意的に行われるに違いないので。

決してこのブログをもとに中国の個人情報保護法制を理解しようとせず、きちんと専門家にご相談ください。

中国個人情報保護法草案第二回審議稿の個人的趣味による日本語訳

この記事を書いている2021/05/25時点でまだ草案第二回審議中の、中華人民共和国個人情報保護法(个人信息保护法)の草案全文を試訳しておく。

あくまで単なる個人的趣味としての試訳なので、ゆめゆめ業務目的でご利用なさらぬよう。

原文は、第一回審議稿、第二回審議稿の対比を示している下記ページを参照した。第二回で削除された部分は見え消しで、逆に第二回で追加された部分は太字で示した。 www.secrss.com

第一章 総則

第一条

個人情報の権益を保護し、個人情報処理活動の規範を示し、個人情報の法律に依拠する秩序ある自由な移動を保障し、個人情報の合理的な利用を促進するために、本法を制定する。

第二条

自然人の個人情報は法律の保護を受け、いかなる組織、個人も自然人の個人情報の権益を侵害してはならない。

第三条

組織、個人が中華人民共和国国内において自然人の個人情報を処理する活動について、本法を適用する。 中華人民共和国国外において、中華人民共和国国内の自然人の個人情報を処理する活動も、以下の状況の一つに当てはまる場合は、本法を適用する。

(一)国内の自然人に対して製品あるいはサービスを提供することを目的とする;

(二)国内の自然人の行為を分析、評価する;

(三)法律、行政法規の定めるその他の状況。

第四条

個人情報は、電子あるいはその他の方法で記録され、すでに識別されたあるいは識別可能な自然人に関する各種情報であり、匿名化処理後の情報は含まない。 個人情報の処理には、個人情報の収集、保存、使用、加工、伝送、提供、公開等を含む。

第五条

個人情報の処理は合法的、正当な方法を採用しなければならず、誠実性の原則を遵守し、誤導、詐欺、脅迫等の方法を通じて個人情報を処理してはならない。

第六条

個人情報の処理は、明確で、合理的な目的を持たなければならず、ならびに処理の目的を実現するために必要最小限の範囲に制限し、個人の権益に対する影響を最小化する方法を採用しなければならず、処理目的と無関係な個人情報処理を行ってはならない。

第七条

個人情報の処理は公開、透明性の原則を遵守しなければならず、個人情報処理規則を公開し、処理の目的、方法および範囲を範囲を明示しなければならない。

第八条

処理の目的を実現するために、個人情報の処理は、個人情報の品質を保証しなければならず、個人情報が不正確、不完全であることによって個人の権益に対する不利な影響を生み出すことを避けなければならない。

第九条

個人情報処理者はその個人情報処理活動に責任を負い、ならびに処理する個人情報のセキュリティを保障するのに必要な措置を採用しなければならない。

第十条

いかなる組織、個人も、法律、行政法規の定めに反して個人情報を処理してはならず、国家の安全、公共の利益に危害を加える個人情報処理活動に従事してはならない。

第十一条

国家は健全な個人情報保護制度を確立し、個人情報の権益を侵害する行為を予防、処罰し、個人情報保護の宣伝教育を強化し、政府、企業、関連する業界組織、社会公衆が共同で個人情報保護に参加する良好な環境を形成することを推進する。

第十二条

国家は積極的に個人情報保護の国際規則の制定に参加し、個人情報保護の方面で国際交流と協力を促進し、その他の国家、地区、国際組織の間の個人情報保護規則、標準等の相互認証を推進する。

第二章 個人情報処理規則

第一節 一般規定

十三条

以下の状況のうち一つに当てはまる場合は、個人情報処理者は個人情報を処理することができる:

(一)個人の同意を取得している;

(二)当事者の一方として個人が契約を締結あるいは履行するために必要である;

(三)法の定める職責あるいは法の定める義務を履行するために必要である;

(四)突発的な公衆衛生事件に対応するため、あるいは緊急の状況下で自然人の生命、健康、財産の安全を保護するために必要である;

(五)本法の規定に基づいて合理的な範囲内で、すでに公開されている個人情報を処理する;

(六)公共の利益のためにニュース報道、世論の監督等の行為を実施し、合理的な範囲内で個人情報を処理する;

(七)法律、行政法規の定めるその他の状況。

本法の他の関連条項が規定する個人情報の処理は、個人の同意を得なければならないが、前段第二項から第七項までが規定する状況においては、個人の同意を得る必要はない。

第十四条

個人情報処理の同意は、個人が十分に情報を得ている前提で、自らの意思で、明確に意思表示を行う必要がある。法律、行政法規の定める個人情報処理は、その規定に従って、個人自らの同意、あるいは書面による同意を取得しなければならない。

第十五条

個人情報処理者は満十四歳未満の未成年の個人情報を処理することを知っている、あるいは知っているはずである場合、未成年の父母あるいはその他監督保護者の同意を取得しなければならない。

第十六条

個人の同意に基づいて個人情報処理活動を行う場合、個人はその同意を撤回する権利を有する。個人情報処理者は同意を迅速に撤回する方法を提供しなければならない。

個人が同意を撤回した場合も、撤回前に個人の同意に基づいてすでに行われた個人情報処理活動の効力には影響しない。

第十七条

個人情報処理者は、個人がその個人情報の処理に同意しないこと、あるいは、その個人情報の処理の同意を撤回したことを理由として、製品やサービスの提供を拒否してはならない;ただし個人情報の処理が製品やサービスの提供に必要である場合を除く。

第十八条

個人情報処理者は個人情報を処理する前に、明示的な方法で、明晰で分かりやすい言語で個人に対して以下の事項を告知しなければならない:

(一)個人情報処理者の身分と連絡方法;

(二)個人情報処理の目的、処理方法、処理する個人情報の種類、保存期間;

(三)個人が本法の規定する権利を行使する方法と手続き;

(四)法律、行政法規の定めるその他の告知しなければならない事項。

前段の規定の事項に変更が発生した場合は、変更部分を個人に告知しなければならない。

個人情報処理者は個人情報処理規則を定める方法によって、第一段の規定する事項を告知し、処理規則を公開、かつ閲覧、保存しやすいようにしなければならない。

第十九条

個人情報処理者は個人情報を処理する場合、法律、行政法規が秘密とすべき、あるいは告知する必要はないと規定する状況においては、個人に対して前条に規定する事項を告知しなくてもよい。

第二十条

個人情報の保存期間は実際の処理目的に必要な最短の時間でなければならない。法律、行政法規が個人情報の保存期限に対してその他の規定をしている場合は、その規定に従う。

第二十一条

二者あるいは二者以上の個人情報処理者が共同で個人情報の処理目的と処理方法を決定する場合、各自の権利と義務を事前に定めなければならない。ただし個人が、それら個人情報処理者のうちいかなる者に対しても、本法の規定する権利の行使を要求することに影響を与えないものとする。

個人情報処理者が共同で個人情報を処理する場合、個人情報の権益の侵害については、連帯責任を負わなければならない。

第二十二条

個人情報処理者が個人情報の処理を委託する場合、受託者と委託処理の目的、期限、処理方法、個人情報の種類、保護措置および双方の権利と義務等を、事前に定め、ならびに受託者の個人情報処理活動に対して監督を行わなければならない。

受託者は事前に定めた個人情報処理に基づいて、事前に定めた処理目的、処理方法等の個人情報処理を超えてはいけない;委託契約が効力を発生せず、無効、取消、あるいは終了した場合、受託者はその個人情報を個人情報処理者に返還あるいは削除しなければならず、保有し続けてはならない

個人情報処理者の同意を経ず、受託者は個人情報処理を他に委託してはならない。

第二十三条

個人情報処理者は合併、分割等の理由により個人情報を移転する必要がある場合、個人に対して引継先の身分、連絡方法を告知しなければならない。引継先は個人情報処理者の義務を継続して履行しなければならない。引継者が当初の処理目的、処理方法を変更する場合、本法規定に基づいて再度個人に告知し個人の同意を得なければならない。

第二十四条

個人情報処理者はその処理する個人情報を他者に提供する場合、個人に対して受領者の身分、連絡方法、処理目的、処理方法と個人情報の種類を告知し、ならびに個人の自らの同意を得なければならない。個人情報を受領した第三者受領者は上述の処理目的、処理方法と個人情報の種類等の範囲内で個人情報を処理しなければならない。受領者は当初の処理目的、処理方法を変更する場合、本法の規定に基づいて再度個人に告知し個人の同意を得なければならない。

個人情報処理者が第三者に匿名化情報を提供する場合、第三者は技術等の手段を利用して再度個人の身分を識別してはならない。

第二十五条

個人情報を利用して自動化された決定を行う場合、決定の透明度と結果の公平性合理性を保証しなければならない。自動化された決定方法を通じてマーケティング、レコメンデーションを行う場合、同時にその個人の特徴に対するものではないオプションも提供、あるいは個人に対して拒否する方法を提供しなければならない。

自動化された決定方法を通じてマーケティング、レコメンデーションを行う場合、同時にその個人の特徴に対するものではないオプションも提供しなければならない。

自動化された決定方法を通じて個人の権益に対して重大な影響を及ぼす決定を行う場合、個人は個人情報処理者に説明を要求する権利を有し、ならびに個人情報処理者に自動化された決定方法によってのみ決定を行うことを拒否する権利を有する。

第二十六条

個人情報処理者は、個人の自らの同意を得た場合あるいは法律、行政法規が別途定める場合を除き、その処理する個人情報を公開してはならない。

第二十七条

画像の収集、個人の身分の識別を行う設備を公共の場所に設置する場合、公共の安全の維持に必要なこととして、国家の関連する規定を遵守し、ならびに明示的な標識を設置しなければならない。収集した個人の画像、個人の身分の特徴の情報は、公共の安全を維持する目的のみに利用することができ、個人の自らの同意を得た場合あるいは法律、行政法規が別途定める場合を除いて、公開あるいは他者に提供してはならない。

第二十八条

個人情報処理者がすでに公開した情報は、当該個人情報が公開されたときの用途に符合しなければならない。当該用途に関連する合理的な範囲を超える場合は、本法の規定に基づいて個人の同意を得なければならない。

第二節 センシティブな個人情報の処理規則

第二十九条

個人情報処理者は特定の目的と十分な必要性がある場合、センシティブな個人情報を処理することができる。

センシティブな個人情報とは、一旦漏えいあるいは不法に利用された場合、個人が差別あるいは人身、財産の安全に重大な危害を受けるに至る可能性がある情報のことで、種族、民族、宗教信仰、個人の生物学的特徴、医療健康、金融口座、個人の行動等の情報のことをいう。

第三十条

個人の同意に基づいてセンシティブな個人情報を処理する場合、個人情報処理者は個人の自らの同意を得る必要がある。法律、行政法規の定めるセンシティブな個人情報処理の場合は書面による同意を得て、その規定に従わなければならない。

第三十一条

個人情報処理者はセンシティブな個人情報を処理する場合、本法第十八条第一段に定める事項を除き、センシティブな個人情報処理の必要性および個人に対する影響を個人に対して告知しなければならない。

第三十二条

法律、行政法規の定めるセンシティブな個人情報処理の場合は、関連する行政許可を取得あるいはその他の制限を行い、その規定に従わなければならない。

第三節 国家機関による個人情報処理の特別規定

第三十三条

国家機関が個人情報を処理する活動には、本法を適用する;本節が特別な規定を有する場合、本節の規定を適用する。

第三十四条

国家機関が法の定める職責のために個人情報を処理する場合、法律、行政法規の定める権限、手続きに基づいて実施し、法の定める職責が必要とする範囲と限度を超えてはならない。

第三十五条

国家機関が法の定める職責のために個人情報を処理する場合、本法の規定に基づいて個人に告知しならびにその同意を得なければならない;法律、行政法規が秘密にしなければならないと定める場合や、告知、同意の取得により国家機関が法の定める職責の履行が妨害される場合を除く。

##### 第三十六条 国家機関は、法律、行政法規が別途定める場合あるいは個人の同意を得ている場合を除き、その処理する個人情報を公開あるいは他社に提供してはならない。

第三十六条

国家機関の処理する個人情報は中華人民共和国国内に保存しなければならない;国外に提供する必要が確かにある場合は、リスク評価を実施しなければならない。リスク評価に際しては関連部門の提供する支援と協力を要求することができる。

第三十七条

法律、法規が権利を与えて公共事務の管理職能を有する組織が、法の定める職責を履行するために個人情報を処理する場合、本法の国家機関の個人情報処理に関する規定を適用する。

第三章 個人情報の域外提供規則

第三十八条

個人情報処理者は業務等の必要により、中華人民共和国国外に個人情報を提供する必要が確かにある場合は、少なくとも以下に挙げる条件の一つを具備しなければならない:

(一)本法第四十条の規定に基づき中国サイバースペース管理局組織の安全評価を経ること

(二)中国サイバースペース管理局の規定に基づき専門機関の実施する個人情報保護認証を経ること

(三)中国サイバースペース管理局の定める標準契約に基づき国外の受領者と契約を締結し、双方の権利と義務を前もって定め、ならびにその個人情報処理活動が本法の規定する個人情報保護水準に達するよう監督すること

(四)法律、行政法規あるいは中国サイバースペース管理局の定めるその他の条件。

第三十九条

個人情報処理者が中華人民共和国国外に個人情報を提供する場合、国外受領者の身分、連絡方法、処理目的、処理方法、個人情報の種類および個人が国外の受領者に対して本法の規定する権利を行使する方法等の事項を本人に告知し、ならびに個人の自らの同意を得なければならない。

第四十条

重要情報基盤施設運営者と、処理する個人情報が中国サイバースペース管理局の規定する数量に達している個人情報処理者は、中華人民共和国国外で収集、産出した個人情報を国内に保存しなければならない。域外提供が確かに必要である場合、中国サイバースペース管理局の安全評価を経なければならない;法律、行政法規と中国サイバースペース管理局が安全評価を行わなくてよいと定める場合は、その規定に従う。

第四十一条

中華人民共和国国外の司法あるいは法執行機関中華人民共和国国内に保存されている個人情報の提供を要求した場合、中華人民共和国の主管機関の許可を経なければ、提供してはならない中華人民共和国が締結あるいは参加している国際条約、協定に規定がある場合は、その規定に基づいて執行することができる。

第四十二条

国外の組織、個人が、中華人民共和国公民の個人情報の権益の損害、あるいは中華人民共和国による国家安全、公共の利益のための個人情報処理活動に危害を加えることに関わった場合、中国サイバースペース管理局は個人情報提供リストへの追加を制限あるいは禁止、告知、ならびに個人情報の提供の制限あるいは禁止等の措置を講ずることができる。

第四十三条

いかなる国家と地区も、個人情報保護において中華人民共和国に対して差別的な禁止、制限あるいはその他類する措置を講じた場合、中華人民共和国は実際の状況に基づき当該国家あるいは当該地区に対して対等な措置を講じることができる。

第四章 個人情報処理活動における個人の権利

第四十四条

個人はその個人情報処理に対して知る権利、決定権を有し、その個人情報に対する他者による処理の実施を制限あるいは拒否する権利を有する;ただし法律、行政法規が別途定める場合を除く。

第四十五条

個人は個人情報処理者に対して、その個人情報を閲覧、複製する権利を有する;ただし本法第十九条第一段の定める状況を除く。

個人によるその個人情報の閲覧、複製請求は、個人情報処理者が直ちに提供しなければならない。

第四十六条

個人がその個人情報が不正確あるいは不完全であることを発見した場合、個人情報処理者に訂正、補足を請求する権利を有する。

個人がその個人情報の訂正、補足を請求した場合、個人情報処理者はその個人情報に対して確認、ならびに直ちに訂正、補足を行わなければならない。

第四十七条

以下の状況の一つに当たる場合、個人情報処理者は自ら個人情報を削除しなければならない;個人情報処理者が未削除の場合、個人は削除請求する権利を有する

(一)処理目的がすでに実現された、あるいは処理目的の実現に不要となった

(二)個人情報処理者が製品あるいはサービスの提供を停止した、あるいは保存期間が満了した

(三)個人が同意を撤回した;

(四)個人情報処理者が法律、行政法規に違反あるいは前もって定めた個人情報処理に違反した;

(五)法律、行政法規の定めるその他の状況。

法律、行政法規の定める保存期間に満たない場合、あるいは個人情報の削除が技術的に実現困難な場合、個人情報処理者は保存と必要な安全保護措置の実施を除く処理を停止しなければならない。

第四十八条

個人は個人情報処理者に、その個人情報に対する処理規則について説明の実施を要求する権利を有する。

第四十九条

自然人が死亡した場合、本章の規定する個人の個人情報処理活動における権利は、その親族が行使する。

第五十条

個人情報処理者は個人が権利を行使する場合の申請受理と処理体制を確立しなければならない。個人の権利行使の請求を拒否する場合、理由を説明しなければならない。

第五章 個人情報処理者の義務

第五十一条

個人情報処理者は個人情報の処理目的、処理方法、個人情報の種類および個人に対する影響、存在する可能性のあるセキュリティリスク等に基づき、必要な措置を講じ、個人情報処理活動が法律、行政法規の定めに符合することを確保し、ならびに権限のないアクセスおよび個人情報の漏えいあるいは窃取、改ざん、削除を防止しなければならない:

(一)内部管理制度と操作規程の制定;

(二)個人情報に対する分類管理の実施;

(三)適切な暗号化、標識化等のセキュリティ技術の措置

(四)個人情報処理の操作権限の合理的な確定、ならびに定期的な従業員に対する安全教育と訓練の実施;

(五)個人情報セキュリティ事故緊急対応の制定ならびに実施;

(六)法律、行政法規の定めるその他の措置。

第五十二条

処理する個人情報が中国サイバースペース管理局の定める数量に達している個人情報処理者は個人情報保護責任者を指名しなければならず、個人情報処理活動に対して責任をとり、および採用した保護措置等の実施を監督しなければならない。

個人情報処理者は個人情報保護責任者の連絡方法を公開し、ならびに個人情報保護責任者の氏名、連絡方式等を個人情報保護の職責を履行する部門に報告しなければならない。

第五十三条

本法第三条第二段に定める中華人民共和国国外の個人情報処理者は、中華人民共和国国内に専門の組織を設立あるいは代表者を指定し、個人情報の処理に関する事務の責任を負い、ならびに関連する組織あるいは代表者の氏名、連絡方法等を個人情報保護の職責を履行する部門に報告しなければならない。

第五十四条

個人情報処理者は定期的にその個人情報処理活動、採用している保護措置等の法律、行政法規の遵守状況に対してコンプライアンス監査を実施しなければならない。個人情報保護の職責を履行する部門は個人情報処理者に専門機関に委託して監査を実施するよう要求する権利を有する。

第五十五条

個人情報処理者は以下の個人情報処理活動に対して事前にリスク評価を実施し、ならびに処理状況を記録しなければならない:

(一)センシティブな個人情報の処理;

(二)個人情報を利用した自動的な決定の実施;

(三)個人情報処理の委託、他社への個人情報提供、個人情報の公開;

(四)個人情報の域外提供;

(五)その他個人に重大な影響のある個人情報処理活動。

リスク評価の内容は以下を含まなければならない:

(一)個人情報の処理目的、処理方法等が合法、正当、必要であるか;

(二)個人に対する影響およびリスクレベル;

(三)採用した安全保護措置が合法、有効ならびにリスクレベルに適しているか;

リスク評価の報告と処理状況の記録は少なくとも三年間保存しなければならない。

第五十六条

個人情報処理者が個人情報漏えいに気付いた場合、直ちに対応措置を講じ、ならびに個人情報保護の職責を履行する部門と個人に通知しなければならない。

通知には以下の事項を含まなければならない:

(一)個人情報漏えいの原因;

(二)漏えいした個人情報の種類と生じる可能性のある危害;

(三)すでに講じた対応措置;

(四)個人が講じることのできる危害軽減措置;

(五)個人情報処理者の連絡方法。

個人情報処理者の講じた措置が情報漏えいにより生じる損害を免れるのに有効である場合、個人情報処理者は個人に通知しなくてもよい;ただし、個人情報保護の職責を履行する部門が個人情報の漏えいが個人に対して存在を生じさせると認識した場合、個人情報処理者に個人への通知を要求する権利を有する。

第五十七条

インフラ的性格をもつインターネット・プラットフォームサービス、ユーザ数が巨大で、業務類型が複雑な個人情報処理者は、以下の義務を履行しなければならない:

(一)主に外部のメンバーで構成される独立機構を設立し、個人情報処理活動に対する監督を実施すること;

(二)法律、行政法規に対する重大な違反となる個人情報処理のプラットフォーム内の製品あるいはサービス提供者は、サービス提供を停止すること;

(三)定期的に個人情報保護の社会的責任報告を公布し、社会の監督を受けること。

第五十八条

個人情報処理委託を受ける受託者は、本章の定める関連義務を履行し、処理する個人情報の安全を保障するために必要な措置を講じなければならない。

第六章 個人情報保護の職責を履行する部門

第五十九条

中国サイバースペース管理局は個人情報保護業務と関連する監督管理業務を統一、調整する責任を持つ。国務院の関連部門は本法と関連する法律、行政法規の定めに基づき、各自の職責の範囲内で個人情報保護と監督管理業務に責任を持つ。

県級以上の地方人民政府の関連部門の個人情報保護と監督管理職責は、国家の関連する規定の定めに基づく。

前二段の定める部門を、個人情報保護の職責を履行する部門と総称する。

第六十条

個人情報保護の職責を履行する部門は以下の個人情報保護の職責を履行する:

(一)個人情報保護の宣伝教育の推進、個人情報処理者の指導、監督、個人情報保護業務の推進;

(二)個人情報保護に関する苦情申立て、通報の受付、処理;

(三)違法な個人情報処理活動の調査、処理;

(四)法律、行政法規の定めるその他の職責。

第六十一条

中国サイバースペース管理局と国務院の関連する部門は職責と権限に基づいて個人情報保護に関する規則を組織、制定し、は関係する部門が本法に基づき以下の個人情報保護業務を推進するよう統一、調整する:

(一)個人情報保護の具体的規則、標準の制定;

(二)センシティブな個人情報および顔識別、人工知能等の新技術、新規アプリケーションに対する、専用の個人情報保護規則、標準の制定;

(三)安全、便利な電子身分認証技術の研究開発支援;

(四)個人情報保護の社会化サービス体系確率の推進、関連する機構による個人情報保護評価、認証サービス推進への支援。

第六十二条

個人情報保護の職責を履行する部門は個人情報保護の職責を履行し、以下の措置を講じることができる:

(一)関係する当事者への照会、個人情報処理活動に関連する状況の調査;

(二)当事者と個人情報処理活動に関する契約、記録、帳簿およびその他関連資料の調査;

(三)現場検査の実施、違法の疑いがある個人情報処理活動に対する調査の実施;

(四)個人情報処理活動に関係する設備、物品の検査;証拠によって違法であることが証明された個人情報処理活動の設備、物品に対しては、本部門の主な責任者への書面による報告ならびに許可を経た上で、差押えあるいは押収することができる。

個人情報保護の職責を履行する部門は法律に基づいて職責を履行し、当事者は協力しなければならず、拒否、妨害してはならない。

第六十三条

個人情報保護の職責を履行する部門は職責の履行において、個人情報処理活動に相当程度に大きなリスクの存在、あるいは個人情報セキュリティ事故の発生を発見した場合、規定の権限と手続きに基づき、当該個人情報処理者の法定代表者あるいは主な責任者に対して聴取を行い、あるいは個人情報処理者に対し、専門的な機構にその個人情報処理活動のコンプライアンス監査を委託するよう要求することができる。個人情報処理者はその要求に基づいて措置を講じ、改善を実施し、原因を除去しなければならない。

第六十四条

いかなる組織、個人も違法な個人情報処理活動について、個人情報保護の職責を履行する部門に対して苦情申立て、通報を行う権利を有する。苦情申立て、通報を受けた部門は法に基づいて直ちに処理し、ならびに処理結果を苦情申立て、通報を行った者に告知しなければならない。

個人情報保護の職責を履行する部門は苦情、通報を受け付ける連絡方法を公布しなければならない。

第七章 法律上の責任

第六十五条

本法規定に違反した個人情報処理、あるいは必要な安全保護措置を講じる規定に基づかない個人情報処理については、個人情報保護の職責を履行する部門が是正を命令、警告、違法な所得の没収を行う;是正を拒否した場合、百万元以下の罰金を課す;直接の責任を有する主管責任者とその他直接責任を有する人員は一万元以上十万元以下の罰金を課す。

前段に定める違法行為は、情状が重大である場合、個人情報保護の職責を履行する部門は是正を命令、違法な所得の没収を行い、ならびに五千万元以下あるいは前年度売上高の五パーセント以下の罰金を課し、ならびに関連業務の一時停止、業務改善、関連する主管部門への通報と関連する業務許可の取消、あるいは営業許可の取消を行う;直接の責任を有する主管責任者とその他直接責任を有する人員は十万元以上百万元以下の罰金を課す。

第六十六条

本法の定める違反行為があった場合、関連する法律、行政法規の定めに基づき、信用記録に記入し、公示する。

第六十七条

国家機関が本法の定める個人情報保護義務を履行しなかった場合、上級機関あるいは個人情報保護の職責を履行する部門は是正を命令する;直接の責任を有する主管責任者とその他直接責任を有する人員は法に基づく処分を受ける。

第六十八条

個人情報の権益が個人情報処理活動のために侵害を受け、個人情報処理者が自らに過失がないことを証明できない場合、損害賠償等権益の侵害の責任を負わなければならない。

前段に定める損害賠償責任は個人がそれによって受けた損失あるいは個人情報処理者がそれによって得た利益に基づいて確定する;個人がそれによって受けた損失と個人情報処理者がそれによって得た利益の確定が困難な場合、実際の状況に基づいて賠償額を確定する。

個人情報処理者が自ら過失がないことを証明することができれば、責任を軽減あるいは免除することができる。

第六十九条

個人情報処理者が本法の定める個人情報処理に違反し、多数の個人の権益を侵害した場合、人民検察院、個人情報保護の職責を履行する部門と中国サイバースペース管理局が確定する組織が法に基づいて人民法院に提訴することができる。

第七十条

本法の規定に違反し、治安管理行為違反を構成した場合、法に基づいて治安管理処罰を行う;犯罪を構成する場合、刑事責任を追及する。

第八章 附則

第七十一条

自然人が個人あるいは家族の事務処理のために個人情報を処理する場合、本法を適用しない。

法律が各級人民政府およびそれに関連する部門組織の実施する統計、記録管理活動における個人情報処理に対する規定を有する場合は、その規定を適用する。

第七十二条

本法の以下の用語を定義する:

(一)個人情報処理者とは、自主的に処理目的、処理方法等個人情報処理の事項を決定する組織、個人を指す。

(二)自動化された決定とは、個人情報を利用して個人の行為習慣、趣味趣向あるいは経済、健康、信用状況等に対して、コンピュータプログラムを通じて自動的に分析、評価し、ならびに決定活動を行うことを指す。

(三)標識化するとは、個人情報を処理を通じて、その他の情報の助けを借りない状況下で特定の自然人を識別できないようにするプロセスを指す。

(四)匿名化とは、個人情報を処理を通じて、特定の自然人を識別できずかつ復原できないようにするプロセスを指す。

第七十三条

本法は 年 月 日より施行する。

中国の個人情報保護法は2021/05/25現在まだ草案第二回審議中

ほぼカタリン・ツィンパヌさん一人でもっているような情報セキュリティ関係者必読サイト「The Record」 に些細な間違いを見つけたので、内容のご紹介ついでに書いておく。 therecord.media

ツィンパヌさんの記事はZDNetに寄稿されていたころから拝読していて、とにかく世界各国にわたる守備範囲の広さと、毎日のように重要なニュースを発信するパワフルさに、いったいいつ寝ているんだろうかと心配になるほどで、この記事を書いている現在は、Recorded Futureという別のニュースサイトに移籍されている。

上記2021/05/21の記事は、中国政府が国内で広く使われているスマホアプリに対して、立て続けに個人情報の収集範囲を適正化するよう指導していることを取り上げている。

指導の対象になっているのは、中国人のほとんどが使っているのではないかという非常にメジャーなアプリばかりで、Tiktokの中国本家版「抖音」を含む人気のショートムービーアプリ、搜狗・百度など各社の中国語入力アプリ、ブラウザ・検索アプリ(360、搜狗、百度など)、地図(高德、百度騰訊)、クリーナーアプリ、LinkedInを含む就職・転職アプリなど。

いずれも指導から10日以内や15日以内という短期間で、収集すべきでない個人情報の管理について改善を求める内容になっている。国家互联网信息办公室の公式サイトの2021/05/01、05/10、05/21の3回にわたるアナウンスのページは、上記の記事内にリンクがあるのでそちらを参照頂きたい。

なお、今回2021/05/21の3回目の指導について、産経新聞の記事はこちら。 www.sankei.com

海外から見ると、中国政府は国内のインターネット利用を厳しく規制しているのに、同時に市民のプライバシー保護も強化しているという、矛盾した政策を行っているようだが、これらのベースにある「网络安全法」は、国家・人民両方の権益を保護するという主旨で、一概に矛盾しているとも言えない。

で、このツィンパヌさんの記事には、残念ながら1点誤りがある。

The new Personal Information Protection Law was drafted last fall and approved earlier this year in March, entering into effect on May 1, 2021.

中国の新たな個人情報保護法は昨年秋に草案が出され、今年(2021年)3月に承認、5月1日施行、と書かれているが、これは間違いだ。

この記事を書いている2021/05/25時点で、个人信息保护法、文字どおり個人情報保護法は、中国信息通信研究院で草案の二回目の審議がされているところだ。 mp.weixin.qq.com

上記、産経新聞の記事でも、中国政府は「『個人情報保護法』の制定に向けた作業も行っている」と正しく書かれている。

おそらくツィンパヌさんは、大量のアプリに対する指導のもととなったガイドライン「常见类型移动互联网应用程序必要个人信息范围规定」が、2021/03/12公布、2021/05/01施行された事実と取り違えをされている。

ガイドラインの公式アナウンスページはこちら。 www.cac.gov.cn

直訳すると「よく見られる種類のモバイルインターネットアプリケーションに必要とされる個人情報範囲規定」となるが、アプリの分類ごとに、収集してよい個人情報の範囲を定めたガイドラインになっている。

このガイドラインそのものは、中国のサイバーセキュリティ法(网络安全法)をベースとして出されたもので、当然、未施行の「個人情報保護法」が元になっているわけではない。

いちおう恐れながらTwitterでツィンパヌさんに直接レスをしてみたが、日々良質な記事を書きつづけている超多忙な方なので、気長に記事の訂正を待とうと思う。

いずれにせよこの「The Record」というサイトは、海外の動向も広くおさえておきたいセキュリティ関係者にとって必読。

仏IT企業SogetiがランサムウェアBabukに関する73ページにおよぶ報告書を公開

フランスのコンサルファーム、キャップジェミニ傘下のITサービス子会社Sogetiが、2021年に入って急速に存在感を増しているランサムウェア「Babuk」について73ページに及ぶ報告書を2021/04/27に公開した。

なぜか同社フランス語サイトからしかリンクが張られていないが、報告書本文は英語。筆者はマルウェア解析部分はまったく分からないので、自分のメモとして要点だけピックアップする。

Babukのオペレーターはダークウェブではなくサーフィスウェブの某有名ハッカー掲示板上で英語で広告を行っており、ランサムウェア内部にCIS諸国の言語設定を検知して動作を停止するといった「キルスイッチ」を備えていないのが特徴。

NGOなど非営利組織は攻撃しないが、LGBTやBlack Lives Matterといった活動を支援する団体は攻撃対象にするという政治的に保守的な傾向を持つ。

また、攻撃初期のオペレーションでApacheのセキュリティ上のミスを犯しており、セキュリティ業界では評価が低い(という表現が妥当なのかは分からないが)。

最初に報告があったのは2021/01/2、オペレーターはロシア語話者。ソースコードは難読化されていないが、自己開発のSHA256暗号化アルゴリズムChacha8と、鍵の保護に160~512ビット長のECDHを使っており、ほぼ復号不能の強力な暗号化スキームを有する。

報告書作成時点で被害企業はヘルスケア、金融機関、小売、運輸業界。地域はイスラエルアメリカ、インド、ルクセンブルク、イタリア、スペイン、南アフリカアラブ首長国連邦、イギリス、中国、ドイツ。

身代金の額は60,000~85,000ドル。Bleeping Computerによれば少なくとも1社が85,000ドルを支払ったことが確認されているとのこと。 www.bleepingcomputer.com

OPSECのミスに加えてこの身代金の低さも、Babukがランサムウェアオペレーターとしてまだ駆け出しであることを示唆しているとされる。

ハッカーフォーラム上のオペレーター"biba99"に関するOSINT調査については、上記報告書を直接参照のこと。TelegramやInstagramにあるカザフスタン軍事警察のメンバーとのつながりを裏付ける強い証拠は見つからず、開発者がカザフスタン在住である可能性も中程度とのこと。

報告書にはBabuk被害を事前に防ぐ方法も書かれている。

Nextron社CEOのFlorian Roth氏がGithubで公開しているWindowsシャドーボリューム削除阻止ツール「Raccine」と、Sogeti社が今回の報告書で公開したBabukによる暗号化阻止Pythonスクリプトを合わせて、グループポリシーで配布しておけば、少なくともWindowsを標的とする暗号化被害は防止できる。 github.com

ただし当然ながら、データ窃取による二重脅迫や、DDoSも加えた三重脅迫の被害は防げない。

その他、オペレーターの連絡先(Protonmail)、リークサイト(doxing site)のURL(onion)、ランサムノート、停止されるWindowsサービスやプロセス、IOC、検知用のYaraルールなどは報告書を参照のこと。