ブログ
【中国】ネットワークセキュリティインシデント報告管理弁法(意見募集稿)について
2023.12.20
2023年12月8日付けで中国国家インターネット情報弁公室が、ネットワークセキュリティインシデント報告管理弁法の意見募集稿[1](以下「本意見募集稿」といいます。)を公表し、2024年1月7日までの意見募集にかけられました。
セキュリティインシデントが生じた場合について、サイバーセキュリティ法、データセキュリティ法、個人情報保護法のそれぞれの法律(以下、3つの法律を総称して「データ三法」といいます。)において、セキュリティインシデントが発生した場合には、当局に対する報告義務が課されているものの[2]、現状当局への報告手続や報告に関する時間的な制限については明確な定めが置かれていません。
本意見募集稿は、このようなセキュリティインシデントに関する当局への報告に係る手続を中心として定めると共に、セキュリティインシデントの分類分級に関する指針も示すものとして、今後実際に立法化された場合には、非常に重要な意義を持つ法令となることが見込まれます。
報告の主体
本意見募集稿は、中国国内でネットワークを建設、運営し、又はネットワークを通じてサービスを提供するネットワーク運営者においてセキュリティインシデントが発生した場合に適用されるとされています[3]。
サイバーセキュリティ法で定められている「ネットワークの所有者、管理者およびネットワークサービス提供者」[4]というネットワーク運営者の定義とは若干の定義の違いはあるものの、基本的な内容、要件は同様といえます。
また、ネットワークセキュリティインシデントについては、「人的原因、ソフトハードウェアの欠陥又は故障、自然災害等に基づき、ネットワーク及び情報システム又はその中のデータに対して危害をもたらし、社会に対してネガティブな影響をもたらす事件」という定義がされています[5]。
報告業務に関する監督管理部門
まず、国家ネットワークセキュリティインシデントに関する報告業務及び関連する監督管理業務は国家インターネット情報部門に、特定の行政区域内におけるネットワークセキュリティインシデントに関する報告業務及び関連する監督管理業務は当該地方レベルのインターネット情報部門によって統括されることとされています[6]。
セキュリティインシデントが発生した場合の対応
まず、運営者においてセキュリティインシデントが発生した場合には、まず速やかに緊急対応案を発動のうえ、処置をすることが必要とされており、このことはデータ三法の定めを再確認したものといえます[7]。
そのうえで、以下のとおり運営者の性質に応じて報告先の部門が分類されています。また、インシデントが重大又は特に重大なものである場合においては、運営者からの報告先である機関から更に上級部門に対して報告がされることとされていますが、その再報告先についても分類がされています[8]。
(1)セキュリティインシデントの分類分級
上記のとおり、セキュリティインシデントが重大又は特に重大なものである場合には、ネットワーク運営者からの報告先から、更に上級部門への再報告がされることとされています。ここでは、セキュリティインシデントに関する分類と分級がされており、本意見募集稿の別紙1として付されている「ネットワークセキュリティインシデント分級ガイドライン」(以下「分級ガイドライン」といいます。)[9]において、①特に重大なもの、②重大なもの、③比較的重大なもの、④一般的なものの4つに分類をされています。
これは、2023年5月に公布されたGB/Tである「ネットワークセキュリティインシデント分類分級ガイドライン」(GB/T20986-2023)[10]の内容を敷衍したものといえます。
その内容を整理すると以下のとおりです。
上記は比較的抽象的な基準ですが、分級ガイドラインにおいてはこれらの基準をより具体化する定量的な基準を定めており、実際にはこれらの定量的な基準を参照することになるといえます。
(2)報告内容及び報告期限
インシデントが発生した場合には、本意見募集稿の別紙2として添付されている「ネットワークセキュリティインシデント情報報告表」[11]にしたがい、以下の各事項を報告することになります[12]。
- インシデント発生単位の名称及びインシデントの発生した施設、システム、プラットフォームの基本的状況;
- インシデントの発見又は発生した時間、地点、インシデントの類型、既に発生した影響及び被害、既に講じた措置及び効果。ランサムウェアによる攻撃に関しては、更に要求されている身代金の金額、方法、日にち等;
- 事案の動向及び更に発生する可能性のある影響及び被害;
- 事件の原因に関する初歩的な分析;
- 更なる調査にあたっての手がかり(攻撃者と思われる者の情報、攻撃ルート、存在する脆弱性等);
- 更に講じる予定の対応措置及び支援の請求事項;
- インシデント現場の保護状況
- その他
中でも、特に重大な、重大な、若しくは比較的重大なセキュリティインシデントが生じた場合には、運営者はインシデントが発生してから1時間以内に該当する当局への報告をする必要があり、特に重大な、若しくは重大なセキュリティインシデントに関してはその報告を受けた当局においても報告を受けてから1時間以内に上級当局へ再報告することとされています[13]。
もっとも、1時間以内にすべての事項について報告をすることができない場合には、上記報告事項の①及び②のみ先行して報告し、それ以外の事項については、24時間以内に補充的に報告をすることができるとされています[14]。
また、インシデントの処理が完了した後、運営者は5営業日以内に、インシデントの原因、応急処置、危害、責任処理、是正状況、教訓等について全面的な分析と総括を行い、報告を行うこととされています[15]。
このように、特に重大、重大、若しくは比較的重大なセキュリティインシデントが生じた場合には、事件発生後1時間以内という極めて短時間での報告義務が課されることとなり、日常的にセキュリティインシデント対応措置やマニュアル、フローといったものが定められていないと、当該時間制限に間に合わない可能性が高いと思われます。その観点からは、こういったマニュアル、フローが制定されているか、また、これが緊急時においてワークするか、といったことは日ごろから定期的に確認、更新をすることが望ましいといえます。
他方で一般的なセキュリティインシデントが生じた場合の運営者に関しては、初期的な1時間といった報告期限は定められておらず、そのため本意見募集稿の内容を前提とする限りは、5営業日以内のインシデントの原因等の分析・総括に関する報告を行えば足りるものと思われます。もっとも、5営業日については、インシデントが発生してから5営業日以内と読むか、インシデントの処理が完了した後5営業日と読むかがやや不明確であり、施行版ではこの点が明確にされることが期待されます。
比較的重大なセキュリティインシデントに該当するためには、例えば個人情報の漏洩を取ってみても100万人以上が必要とされており、中国で事業活動を行う日系企業において100万人以上の個人情報の取り扱いをしている例は必ずしも多くはないと思われ、その意味では日系企業においてセキュリティインシデントが発生し、個人情報の漏洩が生じたとしても1時間以内の当局への報告が必要となるケースは実際にはそこまで多くないように思われます。
もっとも、万が一インシデントが発生した場合に当局への報告が必要となるか否かについては、インシデントが発生した後に評価、確認をしている時間的な余裕はありませんので、その観点では日ごろから自社の取り扱う個人情報の数量把握、データマッピング等を行い、予め自社が報告の必要な運営者に該当しうるかについて評価しておくことが必要といえます。
法的責任
本意見募集稿の規定に従ってインシデントの報告を怠った場合には、法律および行政法規に基づき処罰を科されることとされていますので[16]、本意見募集稿の規定に違反した場合は、データ三法の定めを根拠として処罰を受けることなると思われます。また、インシデントの報告を遅延、省略、虚偽報告または隠蔽し、重大な危害をもたらした場合には、重きに従い処罰されることとされています[17]。
他方で、インシデントが発生した際に、合理的かつ必要な保護措置を講じ、本意見募集稿の規定に従って自主的にインシデントを報告し、同時に緊急対応案の関連手続に従って処理し、インシデントの影響を軽減するために最善の努力をした場合は、状況に応じて、ネットワーク運営およびその関係責任者の責任を軽減又は免除することができることとされています[18]。
まとめ
本意見募集稿は、データ三法において定められている、インシデントが発生した場合の当局への報告対応に関するアウトラインと、インシデントの等級に関する定量的な基準を示したものとして、実務上参考とする価値があると思われますが、今後本意見募集稿がどのような形で施行されるか、引き続き立法動向を注視する必要があるといえます。
[1] 「网络安全事件报告管理办法(征求意见稿)」
[2] サイバーセキュリティ法第25条、データセキュリティ法第29条、個人情報保護法第57条
[3] 本意見募集稿第2条
[4] サイバーセキュリティ法第76条第2号
[5] 本意見募集稿第12条
[6] 本意見募集稿第3条
[7] サイバーセキュリティ法第25条、データセキュリティ法第23条、個人情報保護法第57条
[8] 本意見募集稿第4条
[9] 「网络安全事件分级指南」
[10] 「GB/T 20986—2023 信息安全技术 网络安全事件分类分级指南」
[11] 网络安全时间信息报告表
[12] 本意見募集稿第5条
[13] 本意見募集稿第4条
[14] 本意見募集稿第6条第1項
[15] 本意見募集稿第7条
[16] 本意見募集稿第10条第1項
[17] 本意見募集稿第10条第2項
[18] 本意見募集稿第11条