中国で初めてとなるサイバーセキュリティに関する法律
日本の企業がグローバルに事業展開するとき、活動する現地の国や地域で定められた各種規制に対応する必要がある。単に規制と言っても、法体系的なレベルで拘束力に差異がある。GDPRのように規則として定められているものもあれば、ガイドライン(指針)レベルのものもある。アメリカなら連邦法と州法があり、効力が及ぶ範囲が異なる。
近年よく話題になるのがEUのGDPR(一般データ保護規則)。EU居住者の個人情報を域外に移転する時のEU統一規則で、2018年5月から発効する。違反すると莫大な制裁金が課せられているのが特徴だ。
中国サイバーセキュリティ法が対象とする主なデータはGDPRと同じく個人情報だ。しかしGDPRは人権保護の観点で定められているのに対して、中国サイバーセキュリティ法は国策や国防の観点で定められていると理解するとよさそうだ。
TMI総合法律事務所の大井哲也弁護士はGDPRを個人情報保護法、中国サイバーセキュリティ法をデータ・ローカライゼーション規制と位置づけている。このデータ・ローカライゼーション規制とは自国の重要機密データを保護するため、あるいは国防を目的とするもの。そのためデータのトラッキングが容易にできることが重視される。具体的にはデータセンターを国内設置あるいは国営企業を使うこと、ログインなどのログファイルを残すことなどが定められている。
TMI総合法律事務所 大井 哲也弁護士
