中国、ネットワークデータセキュリティー管理条例を公布、データ越境などのセキュリティー詳細を規定（中国）

中国の国務院は9月30日、「ネットワークデータセキュリティー管理条例」（国務院令第790号）を公布した（文書は9月24日付）。「サイバーセキュリティー法」「データセキュリティー法」「個人情報保護法」に基づき、順守すべき規定を定めたもの。2025年1月1日から施行される。

条例は、一般規定（第2章）、個人情報保護（第3章）、重要データセキュリティー（第4章）、ネットワークデータ越境セキュリティー管理（第5章）、ネットワークプラットフォームサービス提供者の義務（第6章）など全9章64条で構成される（注）。主要な章のポイントは次のとおり。

第2章：セキュリティー上の欠陥・脆弱（ぜいじゃく）性がある場合のユーザーへの通知義務と、国家安全にかかわる場合の24時間以内の主管部門への通知義務（10条）、インシデント発生時の電話、SMSなどでの利害関係者への通知義務（11条）などが規定された。また、生成型人工知能（AI）サービスを提供するネットワークデータ処理者に対し、ネットワークデータのセキュリティーリスクの予防・対処に向けた措置を求めた（19条）。
第3章：個人情報処理にあたり策定すべき規則の内容（21条）が定められたほか、順守すべき6項目の規定も定められた（22条）。
第4章：重要データ処理者はセキュリティー責任者とセキュリティー関連組織を明確にし、インシデントへの対応案の策定や、苦情の受付などが求められる（30条）。また、処理の委託や共同処理を行う場合に必要とされるリスク評価につき、6項目が定められた（31条）。
第5章：越境移転が可能なネットワークデータ処理者について8項目の条件が定められた（35条）。また、重要データの越境移転にはネットワーク関連部門の安全評価が求められるが、地域・部門により重要データとして発表されていなければ、安全評価は必要ないとされた（37条）。
第6章：サードパーティやサービスプロバイダーだけでなく、アプリケーションがプリインストールされたスマート端末などの機器の製造者に関しても、プラットフォーム規則や契約でセキュリティーに関する義務を明確にすべきとされた（40条）。個人情報保護に関する社会的責任報告書の発行（44条）なども義務付けられた。

在中国日系企業などで構成する中国日本商会は、「中国経済と日本企業2024年白書」（2024年7月11日記事参照）で「データの越境・管理」を建議の重点分野としている。

（注）（1）総則（1～7条）、（2）一般規定（8～20条）、（3）個人情報保護（21～28条）、（4）重要データセキュリティー（29～33条）、（5）ネットワークデータ越境セキュリティー管理（34条～39条）、（6）ネットワークプラットフォームサービス提供者の義務（40～46条）（7）監督管理（47～54条）、（8）法的責任（55～61条）、（9）付則（62～64条）の９章64条からなる。

（河野円洋）

（中国）