中国の「重要情報インフラセキュリティ保護規則」-保護の体系と脆弱性検査の許可制

中国の「重要情報インフラセキュリティ保護規則」(关键信息基础设施安全保护条例)が、公表されました。原文は、こちら。翻訳は、丸山さんのところです

Q&Aとして「司法部 网信办 工业和信息化部 公安部负责人就 《关键信息基础设施安全保护条例》答记者问」があって、これの翻訳も丸山さんのところにあります。

この保護規則は、中国ネットワークセキュリティ法(中华人民共和国网络安全法)に基づくものです。ネットワークセキュリティ法について読んでみた私のエントリは、こちら(「村田製作所事件の法的意義と中国のネットワークセキュリティ法と国家情報法における「ネットワーク空間の主権」)です。中国ネットワークセキュリティ法(中华人民共和国网络安全法)の構造は、こんな感じです。

あと、逐条解説は、「逐条解读|《关键信息基础设施安全保护条例》」があります。

 

この「規則」の位置づけですが、ネットワークセキュリティ法の第3章 が、「ネットワーク運営のセキュリティ(网络运行安全)」を定めています。その第1節は、一般規定で、第2節 重要情報インフラの運用のセキュリティ(关键信息基础设施的运行安全)を定めています。その内容は、以下のとおりでした。

  • 31条 重要情報インフラ
  • 32条-各責任機関が、重要情報インフラのセキュリティに責任をもち、それらの計画を編成して実施し、指導・監督すること
  • 33条-重要情報インフラの建設にあたっての留意事項
  • 34条-運営者のセキュリティ保護義務が定められていいます。(責任者及び重要職位の人員に対しバックグラウンドチェックを含む)
  • 35条-ネットワーク製品およびサービス調達の場合において、国のセキュリティに影響を及ぼす場合における国のセキュリティ審査に合格しなければならないこと
  • 36条-ネットワーク製品およびサービス調達の場合において、提供者と安全秘密保持契約を締結すべき義務
  • 37条-データのローカル化の規定
  • 38条-重要情報インフラの運営者のセキュリティおよびリスクの検査測定評価についての規定
  • 39条-セキュリティ保護措置についての規定

これをもとに、セキュリティ保護規則をみていきます。


第1章 総則

1条は、中国ネットワークセキュリティ法(中华人民共和国网络安全法)に基づくものであることが明らかにされています。

2条は、「重要情報インフラ」(关键信息基础设施)の定義です。逐条解説では、産業分類によることが記載されています。

3条は、各責任部門の明示がなされています。条文上は、国家ネットワーク情報部門の調整、国務院公安部、 国務院の電気通信主管部門およびその他の関連部門などの責任がでています。なお、Q&Aでは、司法部、网信办 、工业和信息化部、公安部がでています。

4条は、重要情報インフラの運営者(以下「運営者」という。)の主たる責任の強化/実施など論しています。

5条は、重要情報インフラのセキュリティを危険にさらす違法行為や犯罪行為を法律に基づいて処罰することを論じています。これは、むしろ、ネットワークセキュリティ法6章の法的責任で論じられたことも含んでいるということになるかと思います。

6条は、

ネットワークセキュリティ事故への対応、ネットワーク攻撃および違法・犯罪行為の防止、重要情報インフラの安全で安定した運用の保護、ならびにデータの完全性、機密性および可用性の維持を図る

ということなので、ネットワークセキュリティ法の総まとめみたいな感じです。

7条は、表彰の規定です。

第2章 重要情報インフラの指定

8条は、監督管理部門の指定です(保護作業部門)。これについては、上記の逐条解説に表が載っていたので、挙げておきます。

9条は、保護作業部門が具体的な規則を策定して、重要情報インフラの指定をするようになっています。

10条は、保護作業部門の具体的な指定のプロセスについての規定です。

11条は、重要情報インフラに重大な変化があり、その指定結果に影響を与える可能性がある場合の規定です。

第3章 運営者の責任と義務

12条は、計画・構築・利用と同期させなければならないという原則を述べています。

13条は、運営者の責任です。

14条は、ネットワークセキュリティ法34条とも関連します。運営者は、専門のセキュリティ管理機関を設置し、専門のセキュリティ管理機関の責任者および重要な地位にある人員のセキュリティバックグラウンドチェックを行わなければならないという規定です。 審査の際には、公安機関や国家安全保障機関が支援するとのことです。

15条は、専門のセキュリティ管理機関の責任を論じています。具体的に、なすべき事項が記載されています。

16条は、主たる責任をさらに定めています。運営者は、専門のセキュリティ管理機関の運営資金を保証すること、対応する人員を備えること、専門の管理機関の人員の参加をえなければならないこと、を定めています。

17条は、ネットワークセキュリティ法の38条の規定が再度、明らかにされています。

18条は、インシデント対応の規定です。

19条は、安全で信頼できるネットワーク製品およびサービスの調達を優先しなければならないという規定です。

20条は、ネットワークセキュリティ法36条-ネットワーク製品およびサービス調達の場合において、提供者と安全秘密保持契約を締結すべき義務と同趣旨になります。

21条は、合併、分離または解散した場合についての運営者の主たる責任を明らかにしています。

第4章 保護と促進

22条は、 ネットワークセキュリティ法32条に対応して、産業及び分野における重要情報インフラのためのセキュリティ計画を策定し、保護目的、基本要件、作業課題及び具体的な措置を明示しなければならないという規定です。

23条は、国家のネットワーク情報部門は、関連する重要情報インフラ部門の調整をはかるべきことを明らかにしています。インテリジェンスデータを国家のサイバーセキュリティ・情報化部門に収集することで、サイバーセキュリティ・情報化部門は各業界の戦略的協力を調整・強化し、セキュリティエコシステムの構築を促進し、ネットワークセキュリティが積極的に防御する状況を徐々に形成していくことを述べています。ネットワークセキュリティ情報(网络安全信息)の情報共有の重要性を強調しています。

24条は、ネットワークセキュリティ法5条の内容を繰り返していて、健全な監視・早期警戒メカニズムの構築、稼働状況やセキュリティ状況のタイムリーな把握、通知システムの実施を求めています。

25条は、緊急対応に関する規定です。計画の策定と訓練の重要性がうたわれています。

26条は、セキュリティ検査について保護作業部門に責任があるのはであることを明らかにしています。もっとも、現地のサイバーセキュリティ情報化局や公安局とのコミュニケーションを保つことで全面的な検査を避けることが最善であるとされます。

27条は、26条とも関連しますが、国務院公安部と保護作業部門の連携のもとで、重要情報インフラのネットワークセキュリティ検査・試験を実施し、改善策を提案することを述べています。

28条は、運営者がセキュリティ検査に対して協力する義務をうたっています。

29条は、国家ネットワーク情報部門および国務院通信部門、国務院公安部などの関連部門の技術支援・援助の規定です。

30条は、重要情報インフラの情報について、要員の守秘義務の規定です。ネットワークセキュリティを維持するためにのみ使用することができ、目的外の使用等は、禁止されます。

31条は、脆弱性検出、侵入テスト、その他重要情報インフラのセキュリティに影響を与えたり危険にさらす可能性のある活動の許可制を定めています。

興味深いので、訳を引用します

国のネットワーク情報部門、国務院公安部、保護作業部門の承認、または運営者の許可がなければ、個人や組織は脆弱性検出、侵入テスト、その他重要情報インフラのセキュリティに影響を与えたり危険にさらす可能性のある活動を実施してはならない。 基礎電気通信網に対する脆弱性検出、侵入テストなどを実施する場合は、事前に国務院の電気通信主管部門に報告しなければならない。

これについては、上のQ&Aで特に論じられています。Q&Aでは

実際には、一部の個人や組織が、重要な情報インフラに対して脆弱性検出や侵入テストなどの活動を無許可で行い、重要な情報インフラのセキュリティに影響を与えています

という認識をもとに、一般的なセキュリティ禁止原則、この条文、罰則の定めが説明されています。

32条は、国のエネルギー・通信業界についての責務を述べています。

33条は、公安機関及び国家安全保障機関の責務についてふれています。これは、重要情報インフラの中には、機密ネットワーク(国防や軍事産業など)に属するものもあります。スパイによる妨害行為、国家によるサイバー戦争など、機密ネットワークのセキュリティは国家安全保障部門の責任であり、非機密関連のネットワークは公安部門の責任であることによります。

34条は、国の重要情報インフラのセキュリティ基準を策定・改善についての規定です。このようなセキュリティ基準として

  • 重要情報インフラの保護に関する基本要件 (关键信息基础设施网络安全保护基本要求)
  • 重要な情報インフラのセキュリティ管理対策(关键信息基础设施安全控制措施)
  • 重要情報インフラのセキュリティ検査と評価に関するガイダンス(关键信息基础设施安全检查评估指南)
  • 重要情報インフラの領域(バウンダリー)決定方法(关键信息基础设施边界确定方法)
  • 重要情報インフラ・サイバーセキュリティ緊急対応システムのフレームワーク(关键信息基础设施网络安全应急体系框架)
  • 重要な情報インフラのセキュリティ保護能力の評価方法(关键信息基础设施安全防护能力评价方法)
  • 重要な情報インフラである情報技術製品のサプライチェーン・セキュリティ要件(关键信息基础设施信息技术产品供应链安全要求)

があります。

35条は、事業者は、特別セキュリティ管理機関の運営費を保証し、適切な人員を配置するとともに、ネットワークセキュリティおよび情報技術に関する意思決定には、特別セキュリティ管理機関の人員が関与するものとする。 CIIのセキュリティ保護の仕事は、最終的には人材の強さに依存し、現在の中国のネットワークセキュリティの人材が不足している、国家レベルでは、セキュリティ管理者、セキュリティ技術者の訓練を増やすために継続的な教育システムを推進する重要性が説かれています。

36条は、科学技術は、最優先の産業であること、CIIのセキュリティ保護の仕事は、技術の革新と産業支援から分離することはできまないこと、国家レベルでは、革新的なトピック、主要なプロジェクトや他のフォームを介してCIIのセキュリティ技術の研究開発を実装するために産業と学術の力を整理することを確認しています。

37条は、 CIIのセキュリティ保護は、専門のセキュリティサービス機関のサポートに頼らなければならないこと、ネットワークセキュリティサービス機関がCIIのセキュリティ保護に参加し、CIIのネットワークセキュリティテストやリスク評価などに参加することを国が奨励していることが述べています。

38条は、 国は、CIIの安全保護の分野において、軍民統合と軍と地方自治体の協力を奨励しています。 それは主観的な必要性(軍と地方自治体は才能や資源など多くの面で補完的な優位性を持っている)と、客観的な必要性(単一の当事者が関連する仕事をうまくこなすことはできない)の両方によるものです。

第5章 法的責任

これについては、罰金等の規定ですので、逐条コメントは、省略。

ただ、40条は、報告についての是正命令・警告の規定です。是正拒否・結果発生についての罰金があります。

第6章 附則


ところで、ネットワークセキュリティ法でもっとも注目を引いた規定は、37条(データのローカル化)の規定かと思います。この部分については、上のQ&Aのところで、

重要な情報インフラの重要なデータの越境(「出境」)はどのように行われるのですか?

という質問について

業務上の必要性から国外で提供する必要がある場合には、国務院の関連部門と連携して国家ネットワーク情報部が策定した対策に基づき、セキュリティ評価を行います。法律または行政法規で別段の定めがある場合には、その規定に従うものとします。

とされています。

関連記事

  1. 総務省 「IoTセキュリティ総合対策」の公表 (その1)
  2. ENISA 「トラストがあり、サイバーセキュアな欧州のための新戦…
  3. 証券監視委「デジタル鑑識」へ新設部署
  4. 金融・電力などサイバー攻撃報告義務…政府素案
  5. Cycon 2019 travel memo day3 fina…
  6. CyConX travel report Day Two Due…
  7. 大規模ランサムウエア被害防止のためのMSのブログ
  8. マイク・シュミット教授のニュージーランドのサイバーセキュリティ政…
PAGE TOP