PwC Japanグループは、中国のサイバーセキュリティ法に対する日系企業の取り組み状況についての調査結果を発表した。
中国では、2017年6月にサイバーセキュリティ法が施行されたほか、2019年12月にはその適用範囲を拡大して、新しい等級保護制度や改稿が重ねられた個人情報安全規範が施行された。デジタルデータ保護規制の複雑さやビジネスへの影響が、現地企業だけでなくグローバル企業におけるデジタルガバナンス実現への大きな障壁となっている。
PwC Japanグループは、このような情勢を踏まえて、日系企業におけるセキュリティやプライバシーに関する対応プログラムや実施状況を明らかにし、多くの企業のベンチマークとして活用すべく、日系企業531社にアンケート調査を実施した。
同調査では、デジタルガバナンス体制の構築・運用を着実に行っている企業とそうでない企業の差が、中国サイバーセキュリティ法への対応で顕著に現れている。グローバル規模でのセキュリティプログラムの計画策定やレビューを着実に行い、グローバルで実績のあるコントロールフレームワークを採用している企業では、実効性のある対応に成功している。
さらに、ITへの投資が限られる中で、グループ内にセキュリティ人材を十分に配置しつつ、現地の事情を勘案したアウトソースを行うことによって、中国特有の制度対応を行っていることも明らかになった。
調査レポートでは、日系企業も必要に応じて、「中国現地の規制対応をベースラインにグループ全社の対応を見直すことも検討すべき」と訴えるとともに、「先んじて中国の規制に対応していくことが、企業の今後の包括的なデジタルガバナンスに資するとも十分に考えられる」と述べている。
中国サイバーセキュリティ法とその関連規制への対応状況
現在何らかの対応を行っている企業は、全体の半数に留まる。業種別で見ると小売(84%)、製造(75%)での対応が比較的進んでいる一方で、金融(43%)や電気通信(40%)では対応が芳しくない状況。また、全体の7割以上の企業が日本で開発または運用する情報システムを中国でのビジネスで利用しており、中国サイバーセキュリティ法とその関連規制の適用を受ける可能性があることも判明。
分野別の対応状況について
網羅的に対応を実施中・実施済みである企業は全体の10%を下回り、多くの日系企業が中国サイバーセキュリティ法の全体像を把握できず、デジタル領域におけるコンプライアンスリスクを抱えていることが浮き彫りとなった。対応分野別では、等級保護制度(36%)やデータ移転(40%)など中国の制度特有の分野で対応が進んでおらず、一方で、リスク評価・分析(78%)やインシデントレスポンス(64%)に係る対応を進めていることがわかった。
