利用用途とデータローカライゼーションの注意
今回ご紹介した内容においても、全ての通信を海外のインターネットに通すことは中国当局から許可されておらず、中国現地企業がVPNサービスで海外のグループウェア(Office365)を利用するという目的に沿った用途に限られますのでご注意ください。
また、中国現地企業がグローバルのSaaSを利用すること自体は法律で禁止されていませんが、データの種類によっては中国国内に保存することを求められる可能性がある点にも注意が必要です。
Alibaba CloudのCENを利用することで中国から高品質にOffice365トラフィックを他リージョンにブレークアウトすることが可能となり、アプリケーションアクセラレーションを利用すればOffice365などの特定サービスのトラフィックに限定して他リージョンにブレークアウトすることができます。またどちらの方法でもIP-VPNと比較して低価格で短納期に導入が可能です。
リスク1:(テクノロジー面)グレートファイアウォールによる通信制限
ご存知の通り中国国内では、Googleの検索機能やFacebook、Twitterなどのサービスは利用できません。これらのサービスへの通信は、中国政府の方針により、国家ぐるみのファイアウォール機能でブロックされてしまっているためです。このインターネット上の検閲システムは、万里の長城(The Great Wall)とファイアウォール(Firewall)をもじってグレートファイアウォール(Great Firewall中国語:防火長城)と呼ばれています。
このグレートファイアウォールの主な目的は、中国国内のインターネット産業を守るためとも、中国政府の不利益になる言論を取り締まるためといわれています。ただ少しやっかいなのは、この通信遮断は何の予告もなく行われるケースが多いことです。つまり使えていたインターネットサービスやシステムがある日突然使えなくなってしまう可能性があるのです。このグレートファイアウォールによる通信制限を回避するにはVPNを使う方法もあります。しかし中国政府はこのVPNの利用に際してライセンス制を導入しており、規制や監視は厳しくなる傾向にあります。Office365のようなクラウド型のシステムを利用する場合も、グレートファイアウォールによる通信遮断を気にしながら運用することになります。
リスク2:(法律面)データ越境転送規制
一方で、法律面での制約もあります。中国では、サイバーセキュリティ法と呼ばれる法律でデータ越境転送規制(データの国外転送規制)が定められており、特定の要件を満たす場合、データは中国国内保存、中国国内から中国国外へデータを送付する場合には、安全審査や当局への認証を行う事が求められています。
このデータ越境転送規制の目的は、サイバー空間における中国の主権や安全、社会公共の利益を守る事などが目的とされています。この越境転送規制に違反した場合には、是正命令、違法所得の没収、過料(企業だけでなく担当責任者にも)、関連業務の一時停止、営業停止、ウエブサイトの閉鎖、関連の業務許可の取消し又は営業許可の取消しを命じることができるとされています。
注意が必要なのは、このデータ越境転送規制は、ただ単に中国国内のデータを国外に持ち出す際だけでなく、データ自体は中国境外に物理的には移転されていなくても、中国国外の企業又は個人が閲覧・アクセス可能にする場合や3、海外のクラウドシステムを利用する際などにも適用されるとされており、留意が必要です。
事業者に求められる対応
では、中国では、Office365のような海外クラウドは利用できないのでしょうか?結論から言うと、一定の条件を満たせば実現可能となりますが、自社の場合に使えるのか、サイバーセキュリティ法に照らし合わせて調査を実施し、当局への摘発に備えた準備を実施しておく事が必要となります。
現実的には、Office365のうちメールの機能など、中国から利用できている海外クラウドも多数あります。法律面での対応も、必ずしもすべてのデータ越境転送を禁止しているわけではありません。テクノロジーや法制度のリスクを正しく理解することで、より現実的な対応を行う事が可能となります。以下に現実的にどのような対応を行うべきなのかの事例を記載します。
短期的対応:現状を把握する
最初に実施するべきことは現状を把握する事です。具体的には以下のような例に記載するような事項を把握しておく必要があります。
例:
・中国の事業拠点はどのような事業を行っているか。(重要情報インフラ運営者4に該当する可能性があるか?)
・中国の事業拠点でどのようなシステムを保有、利用しているか?
・中国の事業拠点ではどのようなデータ通信を行っているか?
(例:中国→日本への受注データの転送)
・中国国外にどのようなデータを転送しているか?(例:個人情報、重要データなど)
・中国の事業拠点で利用している基幹システムのうち、重要なシステムで中国国外に設置してあるシステムはあるか?
特に中国国外にあるシステムが重要な業務を担っている場合(例:日本に設置したOffice365やERP(SAPなど)を中国でも利用している場合など)は、越境転送規制の摘発時の事業への影響が大きくなるため、正確に状況を把握しておく事が望ましいと言えます。
中期的対応:越境転送安全評価(法律面での対応)
仮に中国国外へのデータ越境転送を行っている事が判明した場合は、データ越境転送に関しての安全評価(自己組織内での評価書、計画書などを準備)を行っておく必要があります。
データ越境転送に関する法制度は、一部ガイドラインが未整備の状況であり、詳細が固まっていないものもあります。データ越境転送規制に関しての関連ガイドラインでは、条件によっては所轄官庁による安全評価や、当局への報告義務を定めており、安全評価の方法は少し複雑です。ただし、当局の立ち入りなどがあった場合にも、このような越境転送に関する自己評価を行い、データの越境転送管理を行っていることを示せれば、摘発のリスクは減らすことができます。
中長期的対応:システム対策(システムの中国国内への移設の検討)
中長期的には、システム面での対応も検討する必要があります。具体的には、データや基幹システムの中国国内への移設や、中国国外のクラウドを中国国内のクラウドに切り替えるなどの対応です。この対応により、データの中国国外への越境転送運用をなくすことができれば、グレートファイアウォールによる突然の通信遮断にも備えることができ、データ越境転送規制リスクは大幅に減らすことができます。ただ、この対策は有効ではありますが、時間もコストもかかるのが実情です。多くの企業では、まずは越境転送安全評価まで実施しておくのがひとつのゴールとなるかと言えます。
必ずしもすべてのデータ越境転送を禁止しているわけではない
中国サイバーセキュリティ法では、中国国外へのデータ持ち出しに対し、業務上の必要性により、中国国外に対し提供する必要がある場合には安全評価を実施することを求めています。これは、必ずしもすべてのデータ越境転送を禁止しているわけではありません。グレートファイアウォール対応や、システムの中国国内への移設などは、まじめに全て対応しようとすると、大変な時間とコストが必要となります。実際に小規模拠点でのシステムで中国国内に個別にシステムを構築するのにはコストに見合わず中国国外のクラウドを利用せざるを得ない場合も多々あるかと思います。
中国国外のOffice365など、中国国外のクラウド利用などは、はじめからあきらめるのではなく、グレートファイアウォールや、データ越境転送規制の正しい理解に基づき、適切に対処すれば、当局からの摘発リスクを減らしつつ、実現的な落としどころを探すことが可能となります。
EZ-netの中国サイバーセキュリティ法対策ソリューション
さて、EZ-netでは、中国におけるデータ越境転送などに関するお悩みに対して「中国CS法対策コンサルティングサービス」を実施している他、ビジネスリスクマネジメントポータルの有料会員様向けに「中国CS法対応テンプレート」「中国CS法関連法規・ガイドライン一覧」を無料でご提供しています。何から手を付けてればよいかわからない、そもそも中国CS法の適用対象なのかチェックしたい、データ越境転送への対応法がわからない、などのお悩みをお持ちのお客様は、是非お気軽にお問い合わせください。
1 サイバーセキュリティ法では、重要情報インフラ運営者が中華人民共和国境内の運営において収集及び発生した個人情報及び重要データは、中華人民共和国境内で保存しなければならないとしています。ただし、意見募集稿の関連ガイドラインでは、対象の事業者をネットワーク運営者に拡大する動きも見られ、今後の動向には留意が必要となります。
2 正確には香港、マカオ、台湾を除く中国本土内(中国境内)(以降も同様)。
3 意見募集稿の関連ガイドラインでは公開情報、ウエブサイトのアクセスを除くとされている。
4 公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要な産業及び分野、並びにひとたび機能の破壊、喪失又はデータの漏洩に遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得る情報インフラ。(サイバーセキュリティ法31条)
EZ-netでは提携パートナーによる「中国サイバーセキュリティ法 リスクアセスメントサービス」などの中国進出支援ソリューションや、Alibaba Cloudを活用した日中ネットワークソリューションを提供しておりますので、ご興味のある方はお気軽にお問い合わせください。
-
以前の記事もチェック
上海市公安ネットワーク保安局は引き続き大規模なネットセキュリティ調査を実施!
Windows11が遅いと感じたときの対処法-PC高速化のための設定14選
EZ-net********************************* 「ITをもっとEZ(イージー)な存在に。」 EZ-netでは、中国の日系企業様を支えるべく、ITの総合サポートを提供しております。 情報漏洩防止システム、パソコン・サーバーの販売・修理、メールサーバー、トータル管理・メンテナンスまで、幅広いサービスを提供しております。 IT周りでお困りのことがございましたら、EZ-netは御社のご利用状況やご予算に合わせて最善の提案をさせていただきます。お気軽にご相談ください。(日本語・中国語対応可) *********************************EZ-net