2022/09/01より施行される「中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)」について、一部の英語メディアで個人データだけに関する規則だと読める記述を見つけた。

riskybiznews.substack.com

このニューズレターの同規則に関する以下の部分には少なくとも3つの誤りがある。

China to enforce new data export rules: The Chinese government passed new legislation last week that introduced new rules for companies that send the data of Chinese citizens to servers abroad. Any Chinese tech company that has sent the data of more than 100,000 Chinese citizens abroad will be subject to audits and security audits by the Chinese Cybersecurity Authority (CAC). The CAC will primarily check if companies took steps to protect the exported data against hacks, interception, or tampering. The new law will enter into effect on September 1, 2022, but will apply retroactively to all companies that have exported user data abroad after January 1, 2021.

• 重要データと個人情報の両方が対象なのに、個人情報に関する新規則だとしている点。

• 全業種が対象なのに、テック企業が対象だとしている点。

• 規則に反する域外移転をしていた場合、それがどれだけ以前であっても規則の施行後6か月以内の是正を求められるが、ニューズレターで遡及適用されるのは2021/1/1までとしている点。

英語のセキュリティ関連メディアが、中国の法制度について間違うのはよくあることなので仕方ないとして、このニューズレターの誤りのうち最も重大なのは同規則の重点が個人情報より「重要データ」にあることを見落としている点だ。

中国国家標準の「重要データ」の定義

では域外移転が規制される「重要データ」とは、いったいどんなデータのことなのか。それはこの規則に関連する中国国家標準に書かれている。

「情報セキュリティ技術 重要データ識別ガイドライン(信息安全技术 重要数据识别指南)」という国家標準だ。

信息安全技术 重要数据识别指南

このガイドラインは2022/01/13～2022/03/13の期間パブコメに出され、その後まだ正式版が出ていないが、パブコメ版でも「重要データ」の識別法の主旨は理解できる。

パブコメ稿はこちらにPDFファイルの直リンクがある。

https://www.tc260.org.cn/file/2022-01-13/bce09e6b-1216-4248-859b-ec3915010f5a.pdf

このパブコメ稿を抄訳してみる(太字は筆者によるもの)。

3.1 重要データ critical data

電子的な形式で存在し、いったん改ざん、破壊、漏えいあるいは不法な取得、不法な利用にあうと、国家の安全、公共の利益に危害を与える可能性のあるデータのこと。

注：重要データは国家機密と個人情報を含まない。ただし大量の個人情報に基づく統計データ、そこから派生するデータは重要データに属する可能性がある。

4 重要データ識別の基本原則

重要データの識別は以下の原則を順守すること

a) セキュリティ上の影響に焦点を当てること：国家安全、経済運営、社会の安定、公共の健康と安全などの角度から重要データを識別する。自組織にとってのみ重要あるいは機微なデータは重要データに属しない。たとえば企業の内部管理に関するデータなど。

b) 保護の重点が明らかであること：データ分類を通じて、セキュリティ保護の重点が明確であること。一般のデータは十分に流通させ、重要データはセキュリティ保護要求を満たしている前提で流通させることで、データの価値を発揮させる。

c) 既存の規定とリンクしていること：地方政府の既存の管理要求と業界の特色を十分考慮し、地方、部門がすでに制定、実施している関連するデータ管理政策と標準規範に密にリンクさせること。

d) リスクを総合的に考慮すること：データの用途、直面する脅威などさまざまな要素に基づき、データがさらされる改ざん、破壊、漏えいあるいは不法な取得、不法な利用などのリスクを総合的に考慮し、機密性、完全性、可用性、真実性、準拠性などから多角的にデータの重要性を識別すること。

e) 定量と定性の組合せ：定量と定性を組み合わせた方式で重要データを識別すること。かつ、具体的なデータの類型、特性に基づいて異なる定量的あるいは定性的な方法を採用すること。

f) 動的に識別のレビューをすること：データの用途、共有方式、重要性などの変化の発生にしたがって、動的に重要データを識別すること。かつ、定期的に重要データの識別結果をレビューすること。

5 重要データの識別要素

重要データを識別する際、以下の要素を考慮すること。

a) 国家の戦略的備蓄、緊急動員能力を反映するもの。例えば戦略物資の生産能力、備蓄量は重要データに属する。

b) 重要インフラ施設の運用あるいは重点的な工業生産領域をサポートするもの。例えば重要インフラ施設がある業種、業務運用のコアとなる領域、あるいは工業生産の重点領域をサポートするデータは重要データに属する。

c) 重要情報インフラ施設のネットワークセキュリティ保護状況を反映し、重要情報インフラ施設に対するサイバー攻撃の実施に利用されうるもの。例えば重要インフラ情報施設のサイバーセキュリティ計画、システム構成情報、中核となるソフトウェア設計情報、システムのトポロジー、緊急対応計画などの状況のデータは重要データに属する。

d) 輸出規制品に関するもの。例えば輸出規制品の基本設計、製造工程、製造方法などの情報およびソースコード、集積回路レイアウト、技術的なソリューション、重要パラメータ、実験データ、テストレポートは重要データに属する。

e) 他の国家あるいは組織に利用され我が国への軍事攻撃を引き起こす可能性があるもの。例えば一定の精度が求められる地理情報は重要データに属する。

f) 重点目標、重要な場所の物理的セキュリティ保護状況あるいは未公開の地理的目標の位置を反映し、テロリスト、犯罪者によって破壊行為のために利用される可能性のあるもの。例えば重要な安全保障組織の事務所、重要な製造企業、国家的な重要資産（鉄道、石油パイプライン）の施工図、内部構造、安全管理などの状況のデータ。および未公開の高速道路、未公開の飛行場などの情報は重要データに属する。

g) 重要設備、システムコンポーネントのサプライチェーンの破壊に利用され、APTなどのサイバー攻撃を引き起こす可能性のあるもの。例えば重要顧客リスト、重要情報インフラ運営者の未公開の製品・サービス購入状況、未公開の重大な脆弱性は重要データに属する。

h) 集団の健康状態、民族の特徴、遺伝情報などの基礎データ。例えば国勢調査資料、人類の遺伝資源情報、遺伝子配列の生データは重要データに属する。

i) 国家の天然資源、環境基礎データ。例えば未公開の水源情報、水質観測データ、気象観測データ、環境保護観測データは重要データに属する。

j) 科学技術の実力に関連し、国際競争力に影響するもの。例えば国防、国家安全に関連する知的財産権データは重要データに属する。

k) 機微な製品の生産と取引および重要装備の配備、使用に関連し、外国政府が我が国に対する制裁を実施する可能性のある情報。例えば重要企業の金融取引データ、重要装備の生産製造情報、および国家重大プロジェクトの工程内にある重要装備の配備、使用など生産活動情報は重要データに属する。

l) 政府機関、軍事企業およびその他機微な重要機構がサービスを提供する過程で産出する公開してはいけない情報。例えば軍事企業の比較的長期間にわたる車両使用情報。

m) 未公開の政務データ、業務機密、情報データと法執行司法データ。例えば未公開の統計データ。

n) その他国家政治、国土、軍需、経済、文化、社会、科学技術、生態系、資源、核施設、海外利益、生物、大気、極地、深海などの安全に影響する可能性のあるデータ。

以上の要素の一つでも具備していれば、重要データである。

以上が「データ域外移転セキュリティ評価規則」にいう「重要データ」の識別ガイドラインだ。

なお「評価規則」の重点が個人情報ではなく重要データにあることは、同規則の2021/10のパブコメ稿と最終稿を比べると分かる。

パブコメ稿では「重要インフラ施設運営者が収集・産出する個人情報と重要データ」が一番目だったが、最終稿では業種問わず「データ処理者が域外提供する重要データ」がトップに変更されている。

パブコメ稿

（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；

（二）出境数据中包含重要数据；

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。

最終稿

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

以上、「データ域外移転セキュリティ評価規則(数据出境安全评估办法)」にいう「重要データ」とは何かについて、重要データ識別ガイドラインで確認してみた。