最速レビュー!中国データ・セキュリティ法第二次草案のポイントと技術的対策
中国データセキュリティ法が全人代を通過、9/1より施行されることになりました。詳細は、以下のページをご覧ください。
第13期全国人民代表大会(NPC)常務委員会第28回会議では、2021年4月26日から29日まで、「中華人民共和国データセキュリティ法(第二次審査案)」(以下、「データセキュリティ法(案)」)を含む多くの法律が審議され、「データセキュリティ法(案)」が中国NPCのウェブサイト(www.npc.gov.cn)で正式に公開され、パブリックコメントを募集しています。 第一稿と比較して、主にデータセキュリティの分類と区分、重要なデータ保護システム、データの越境移転管理規定を改訂・改善し、ネットワークセキュリティレベルの保護システム(等級保護2.0)の確立を前提としたデータ処理活動のための新たな対策・仕組みを追加するとともに、データセキュリティインシデントへの対応とメカニズムなどが追加されました。
法律の規定をよりよく理解し、データセキュリティ構築の考え方を実践するために、中国のセキュリティ・コンサルタントである绿盟科技が、データセキュリティ法の第二稿の技術的解釈を行いました。 第二稿のハイライトの1つとしては、等級保護制度の明確化が追加されており、等級保護2.0の規格には、いくつかのデータセキュリティ要件と規定が含まれているため、本日、本公開サイトに掲載された別の記事「技術的観点から見たデータセキュリティに関する等級保護2.0の要件の解釈」を参考に、別途検討を行います。 これらの解釈と組み合わせにより、一方では企業組織のデータ・セキュリティ・コンプライアンスのための技術的な参考資料を提供し、情報セキュリティの実務家とコミュニケーションを図り、データ・セキュリティのベストプラクティスを共に議論したいと考えています。
第一章 总则
第3条
本法の目的上、データとは、電子的または非電子的な形式の情報の記録を意味する。データ処理(データの収集、保管、使用、処理、送信、提供、開示を含む。データセキュリティとは、必要な措置を講じることにより、データが効果的に保護され、合法的に使用できる状態にあることを保証するとともに、セキュリティの状態を継続的に保証する能力を意味する。
<データ・セキュリティ技術解説>
データセキュリティ法における「データ」の範囲を明確化し、電子データ(サイバーセキュリティ法で定義されている「ネットワークデータ」)だけでなく、電子データではない形態のデータ(印刷された機密紙文書など)も含めることで、データ保護の範囲を拡大し、企業に高い法的要件を課す これにより、データ保護の範囲が広がり、組織にはより高い法的要件が課せられることになります。
その目的は、「データ処理」に様々な側面が含まれることを明確にし、「データセキュリティ」を定義することで、「効果的な保護」と「合法的なアクセス」を確保することにあります。 その目的は、「効果的な保護」と「合法的なアクセス」を確保することです。
第4条
データセキュリティを維持するためには、国家全体のセキュリティ概念を遵守し、健全なデータセキュリティガバナンスシステムを確立し、データセキュリティの能力を向上させなければならない。
<データ・セキュリティ技術解説>
データセキュリティを維持するための指針として、全体的な国家安全保障の概念を使用する。 データセキュリティガバナンスシステムを構築し、データセキュリティ保証能力を継続的に向上させるためには、Gartner社のデータセキュリティガバナンスガイドラインやデータセキュリティ能力成熟度モデルなどを参考になると思われます。
第5条
国は、データに関する個人及び組織の権利及び利益を保護し、法律に従ってデータの合理的かつ効果的な利用を奨励し、法律に従ってデータの秩序ある自由な流れを保証し、データが重要な要素であるデジタル経済の発展を促進する。
<データ・セキュリティ技術解説>
この項目は重要な要素であるデータの属性を明確にし、データの合法的な使用と自由な流れを奨励し、データ経済の発展を促進するものです。 この目標を達成するために、フェデレーテッド・ラーニング、セキュア・マルチパーティ・コンピューティング、TEEなどの新しい技術ソリューションを使用して、データ・セキュリティのニーズを満たしながら、データ・フローと共有に対処することができます。また、ブロックチェーン技術を使用して、データ・エンタイトルメント、データ・フローと処理セッションのステータス情報の安全な記録を実現することができます。
第2章 データのセキュリティと発展
第13条
国は、開発とセキュリティを調整し、データ・セキュリティの保護とデータの開発・利用の促進を同等に重視し、データ・セキュリティをデータの開発・利用および産業の発展とともに促進し、データ・セキュリティをデータの開発・利用および産業の発展とともに保護しなければならない。
<データ・セキュリティ技術解説>
データセキュリティと、データの開発・活用という相互に補強しあう開発関係のバランスを明確にするものです。 現在、データセキュリティ産業、特にビッグデータ産業が活況を呈している中で、今後、健全で秩序ある持続的な発展を促進することは特に重要です。 第五条の解釈を参照すると、ブロックチェーン、セキュアマルチパーティコンピューティング、連邦政府の学習、ブロックチェーンなどの新技術を組み合わせることで、データの活用とデータセキュリティの同時開発を促進することができると考えられます。
第14条
国は、ビッグデータ戦略を実施し、データ基盤の構築を促進し、様々な産業・分野におけるデータの革新的な活用を奨励・支援するものとする。
県レベル以上の人民政府は、デジタル経済の発展を国家の経済・社会発展計画に組み込み、必要に応じてデジタル経済の発展のための計画を策定する。
<データ・セキュリティ技術解説>
ビッグデータの発展戦略、デジタル経済の発展、データの革新的な利用の奨励、省や市が関与するビッグデータ局プラットフォームの設立、データの収集、送信、処理、共有のすべての面でデータのセキュリティ能力を保証することが強調されています。
第15条
国は、データ活用及びデータセキュリティ技術に関する研究を支援し、データ活用及びデータセキュリティ分野における技術振興及び商業的革新を奨励し、データ活用及びデータセキュリティ製品及び産業システムを育成・発展させる。
<データ・セキュリティ技術解説>
データセキュリティ技術には、暗号化、データの非機微化、データ電子透かし、データ漏洩防止、アクセス制御、災害復旧・バックアップなどのキーテクノロジーに加え、ホモモルフィック暗号、セキュアマルチパーティコンピューティング、フェデレーテッドラーニング、ブロックチェーンなど、革新的な技術で適切に取り組まなければならない新技術も含まれています。
第17条
国は、データセキュリティの試験、評価、認証及びその他のサービスの発展を促進し、データセキュリティの試験、評価、認証及びその他の専門機関が法律に基づいてサービス活動を行うことを支援する。
<データ・セキュリティ技術解説>
第三者機関によるデータセキュリティ評価および認証サービスを奨励し、評価プロセスや、パスワード評価、個人情報セキュリティ影響評価、アプリによる個人情報収集のセキュリティ評価、データセキュリティ能力成熟度モデルに基づく評価など、いくつかの標準的な仕様に基づく評価ツールの開発を行う。
第18条
国は、データ取引の管理体制を整備・改善し、データ取引の行為を規制し、データ取引市場を育成する。
<データ・セキュリティ技術解説>
生産要素としてのデータの発展のためには、健全なデータ取引管理システムの確立とデータ取引行為の合法性が不可避であることは明らかである。 どのように安全で効果的なデータ取引システムと管理システムを構築するかというと、「情報技術データ取引サービスプラットフォーム一般機能要件」、「情報セキュリティ技術データ取引サービスセキュリティ要件」(GB/T37932-2019)などの仕様を通じて、データセキュリティ取引プラットフォームを構築する必要がある一方で、ブロックチェーン、フェデレーテッドラーニング、セキュア・マルチパーティ・コンピューティングなどの新興技術の活用する北京国際ビッグデータ取引所が参考になると考えられる。
第3章 データセキュリティ制度
第20条
国は、データの分類と等級付けによる保護制度を確立し、経済社会の発展におけるデータの重要性と、データが改ざん、破壊、漏洩、不正アクセス、不正使用された場合に国家の安全、公共の利益または国民や組織の正当な権利と利益に与える害の程度に応じて、データの分類と等級付けによる保護を実施し、重要なデータの保護を強化するために重要なデータのリストを決定するものとする。
すべての地域および部門は、データの分類および等級別保護システムに従って、自らの地域および部門、ならびに関連する産業および分野における重要なデータの具体的なリストを決定し、リストに含まれるデータの重要な保護を行うものとする。
<データ・セキュリティ技術解説>
分類と等級付けがデータ保護制度の重要なポイントであると明確に規定されており、分類と等級付けの重要性を法律から確認することができます。 データセキュリティの基本的な考え方として、どのように実装するには、まず、データの重要性に応じてだけでなく、被害想定の2つの次元で考えられ、分類と等級の規範とテンプレートを組み合わせで構成されます。
さらに、特定のデータ分類プロセスでは、巨大な複雑なデータのために、技術的なツールとインテリジェントな補助的な方法を導入する必要があるだけでなく、伝統的な辞書ベース、通常の機密データの識別だけでなく、機械学習、自然言語処理、ナレッジグラフなどに基づいたインテリジェントな認識方法により、認識精度を向上させ、分類・採点の自動化・知能化のアップグレードなどを考慮する必要があると思われます。
第21条
国は、集中的、統一的、効率的かつ権威あるデータ・セキュリティ・リスクの評価、報告、情報共有、監視および早期警戒のメカニズムを確立し、データ・セキュリティ・リスク情報の取得、分析、調査、判断および早期警戒を強化する。
<データ・セキュリティ技術解説>
国は、集中的かつ統一的なデータセキュリティリスク評価などの関連メカニズムを構築しており、データセキュリティの監督・運用は非常に重要である。データセキュリティを中心に、様々なデータセキュリティ技術を用いて、監視、分析、予防・制御、調査・評価、早期警報などの多次元的な観点からデータセキュリティの監督を行い、7*24時間の継続的な運用により、データ処理の安全性を保証し、データセキュリティリスクの状況把握と制御を実現している。
第22条
国は、データ・セキュリティ緊急処理機構を設置するものとする。 データセキュリティ事故が発生した場合、関連する主管部門は、法律に基づいて緊急計画を起動させ、被害の拡大を防止し、セキュリティ上の危険性を排除するために適切な緊急処理措置を講じ、公衆に関連する警告情報を速やかに社会に発信する。
<データ・セキュリティ技術解説>
国家のデータセキュリティ緊急対応機関の確立が明確に定義されており、データセキュリティインシデントの分析・検知・調査、緊急計画の起動、データインシデントの影響や被害を軽減するための迅速な対応が求められています。
第23条
国は、データ・セキュリティ・レビュー・システムを確立し、国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動の国家安全保障レビューを行う。 法律に基づいて行われたセキュリティレビューの決定は最終的なものとなります。
<データ・セキュリティ技術解説>
データの国益を守るためには、データセキュリティ監査、輸出規制、外交上の対策が必要であり、監査フォレンジックは必要なツールである。
第4章 データセキュリティ保護義務
第26条
法令の規定に従ってデータ処理活動を行い、ネットワークセキュリティレベルの保護システムに基づいて全プロセスのデータセキュリティ管理システムを構築・改善し、データセキュリティの教育・訓練を組織し、データセキュリティを保護するために対応する技術的措置およびその他の必要な措置を講じるものとする。
重要なデータの処理者は、データセキュリティの責任者および管理組織を明示し、データセキュリティ保護の責任を履行しなければならない。
<データ・セキュリティ技術解説>
法令に加えて、「ネットワークセキュリティのレベルプロテクションシステムに基づいて」、つまり等級保護2.0に基づき、データセキュリティシステムを構築する必要があることが明記されている。
等級保護2.0の規格に関連するデータセキュリティの詳細な技術的解釈については、次回以降に説明するので、ここでは詳細な説明を省略する。
第27条
データ処理活動および新しいデータ技術の研究開発の実施は、経済・社会の発展および国民の福利厚生の促進に資するものでなければならず、また、社会的道徳および倫理に合致したものでなければならない。
<データ・セキュリティ技術解説>
経済的・社会的発展を促進し、人々の生活に利益をもたらす目的で、データ技術の開発と利用を奨励すること。
第28条
データ処理活動を行う際のリスクモニタリングを強化し、データセキュリティ上の欠陥、脆弱性、その他のリスクが発見された場合には、直ちに改善措置を講じるものとする。データセキュリティ上の事故が発生した場合には、直ちに処理措置を講じるとともに、利用者に速やかに通知し、規制に基づいて関連する管轄当局に報告するものとする。
<データ・セキュリティ技術解説>
リスクモニタリングの強化: 等級保護2.0の基準と組み合わせることで、データ活動のライフサイクル全体のセキュリティ評価を行い、潜在的なリスクや脆弱性を事前に特定することができます。
自動化されたセキュリティイベント分析と応答技術:人工知能技術を用いて、データ処理活動をリアルタイムに監視・分析し、一定の処理ロジックやルールをプリセットし、セキュリティアラームが発生した際にリアルタイムに応答・対策を行う必要があります。
第29条
重要なデータの処理者は、規定に従ってデータ処理活動のリスクアセスメントを定期的に実施し、リスクアセスメント報告書を関連する所轄官庁に提出しなければならない。
リスクアセスメント報告書には、処理される重要なデータの種類と量、データ処理活動が行われる状況、直面するデータセキュリティリスクとその対策を含めるものとする。
<データ・セキュリティ技術解説>
「等級保護2.0」で定めらた評価の取得に関するものです。
データ処理活動の定期的なリスク評価は、データの分類とグレーディングに基づいて、等級保護2.0の基準と合わせて実施することができ、データ処理活動のセキュリティと対応時間を向上させることができます。
第30条
重要な情報インフラの運営者が中華人民共和国の領域内で業務上収集・生成する重要なデータの対外的なセキュリティ管理については、中華人民共和国のサイバーセキュリティ法の規定に従うものとし、その他のデータ処理者が中華人民共和国の領域内で業務上収集・生成する重要なデータの越境移転に関するセキュリティ管理については、国家インターネット情報部が国務院の関連部門と共同で策定するものとする。
<データ・セキュリティ技術解説>
重要なデータの越境管理について明確な規定を設けるため、新たな項目が追加されました。
第31条
データを収集する組織または個人は、合法的かつ適切な方法でこれを行わなければならず、その他の違法な方法でデータを盗んだり入手したりしてはならない。
データの収集および利用の目的および範囲が法律および行政法規で定められている場合は、法律および行政法規で定められている目的および範囲内でデータを収集および利用すること。
<データ・セキュリティ技術解説>
以下のポイントが該当する。
データの暗号化送信:データ収集および共同利用の段階では、ネットワークを介して送信されるデータのセキュリティを確保するために、暗号化送信が使用される場合があります。
データの無効化:データ収集者がデータ開示機能を提供する場合、データの公開/開示時に特定の個人や組織にマッピングできないようにすることができる。
ディファレンシャル・プライバシー:データコレクタがクエリ統計機能を提供する場合、ディファレンシャル・クエリ攻撃を受けてもデータが漏洩しないことを保証します。
フェデレーション・ラーニング:複数のデータ所有者の間で連携してモデリング/深層学習を行う際に、各当事者のデータがローカルなセキュリティ領域から出ないことを保証した上で、複数当事者のデータの連携モデリング/深層学習を可能にするデータセキュリティ共有シナリオ。
セキュア・マルチパーティ・コンピューティング:データ・セキュリティ・シェアリング・シナリオにおいて、複数のデータ所有者の間で連携した照会・分析を行う場合、すべての当事者のデータ機密性を保証することを前提に、マルチパーティ・データの連携した照会・分析を実現する。
第32条
データ取引仲介サービスを行う機関は、取引仲介サービスを提供する際に、データ提供者にデータの出所の明記を求め、取引の両当事者の身元を確認し、確認と取引の記録を残すものとする。
<データ・セキュリティ技術解説>
以下の技術ポイントが該当する。
本人確認:アイデンティティ認証技術を使用して、取引の両サイドのアイデンティティ監査を実現すること。
ブロックチェーン預託:ブロックチェーンを利用したデータ預託技術により、保持された監査記録や取引記録をチェーン上に保管し、データの紛失や改ざんを防止します。
第34条
公安機関および国家保安機関は、国の関連規定に従い、厳格な承認手続きを経て、法律に基づいて国家の安全を維持し、または犯罪を捜査する目的でデータを取得するものとし、関係する組織および個人はこれに協力するものとする。
<データ・セキュリティ技術解説>
以下の技術が該当します。
授権管理:各国当局によるデータへのアクセスの承認・認可。
アクセスコントロール:データのアクセス/検索の過程で、許可された権限/人員の許可制御。
認可監督:データの検索、使用、破棄の全過程において、認可された当局/担当者を監督すること。
セキュリティ監査:データ検索の全過程における権限者・担当者の操作行動を監査すること。
承認プロセスがオンラインで行われる場合、関連する可能性のある技術には次のようなものがあります。
本人認証技術:手続きの承認プロセスにおいて、各承認者・認可者の身元を認証すること。
デジタル署名:承認電子文書の悪意のある改ざんを防止する。
ブロックチェーンを利用したデータ預託:電子化された承認文書や記録を安全に預託することで、当時のセキュリティ監査を容易にすることができます。
第35条
中華人民共和国外の司法機関または法執行機関が中華人民共和国の領域内に保存されているデータへのアクセスを要求した場合、中華人民共和国の管轄当局の承認を得た場合を除き、当該データを提供してはならない。中華人民共和国が締結または加盟した国際条約または協定に当該アクセスが規定されている場合には、その規定に基づいて実施することができる。
<データ・セキュリティ技術解説>
第一次草案と比較して、「中華人民共和国の主務官庁の承認を得た場合を除き、提供してはならない」という文言が強調されています。
第37条
国の機関がその法定の任務を遂行するために行うデータの収集及び利用は、その法定の任務の範囲内で、法律及び行政規則で定める条件及び手続に従って行わなければならない。
<データ・セキュリティ技術解説>
第31条と比較すると、データの暗号化送信、データの鈍感化解除、差分プライバシー、安全なマルチパーティ・コンピューティング、連邦政府の学習技術に加えて、国家機関の特殊性からデータの収集と使用がより厳しくなっており、以下のような技術的なポイントが追加されています。
アクセスコントロール:人員によるデータへのアクセスと使用のための認可されたアクセスコントロール。
データセキュリティの破壊:国家機関がデータを収集して使用する場合、モバイルメディアの伝送シナリオを考慮すると、伝送メディア内のデータが伝送完了後に回復不可能であることが保証される必要がある。
セキュリティ監査:データのライフサイクル全体におけるアクセスおよび処理活動を記録し、安全に監査する必要がある。
第38条
国家機関は、法律及び行政法規の規定に従い、健全なデータセキュリティ管理システムを構築し、データセキュリティ保護の責任を果たし、政府データのセキュリティを守らなければならない。
<データ・セキュリティ技術解説>
健全なデータセキュリティ管理システムは、等級保護2.0シリーズの規格と併せて構築することができます。
第39条
国家機関は、電子政府システムの構築・維持、政府データの保存・処理、政府データの他者への提供を他者に委託する場合、厳格な承認手続きを経て、委託者およびデータ受領者が対応するデータセキュリティ保護義務を果たすよう監督しなければならない。
<データ・セキュリティ技術解説>
データの暗号化保存:重要なデータを保存するプロセスを確保する。
データの暗号化送信:データを他者に提供する際の送信の安全性を守るため。
アクセス制御:電子政府システムの保守、データ保存、処理中のデータへのアクセスの安全性を保護すること。
アイデンティティ認証:システムの保守、データの保存、データの処理中にデータにアクセスする人の識別。
データのセキュリティ破壊:モバイルメディア内の重要なデータの送信後のモバイルメディア内のデータのセキュリティ破壊、データ受信者によるデータの使用後の受信者のローカルストレージ内のデータのセキュリティ破壊。
承認監督:データの保存、処理、提供、使用、受信などの処理行為の承認処理および上記の行為行為の監督。
セキュア・マルチパーティ・コンピューティング:セキュアなデータ処理を可能にする。
フェデレーション・ラーニング: 安全なデータ処理と共有の実現。
セキュリティ監査:データのライフサイクルにおいて、データの保存、アクセス、処理、プロビジョニング、受信、承認など、関連するすべての操作行為のロギングと事後のセキュリティ監査を行い、ブロックチェーン技術と組み合わせることで、操作記録のタンパーエビデント性を実現することができます。
第40条
国家機関は、国民に対して公平、公正、利便性の原則に従い、規則に従って政府のデータを適時かつ正確に開示しなければならない。 法律に基づき開示できないものを除く。
<データ・セキュリティ技術解説>
以下の技術が活用可能。
データの非機微化:データが公開されても、特定の個人や組織にマッピングできないことを保証する。
ディファレンシャル・プライバシー:データを公開すると、ディファレンシャル・クエリ攻撃を受けても、データが漏洩しないことが保証される。
第41条
国は、オープンガバメントデータのリストを策定し、統一的かつ標準化された、相互運用可能で安全かつ制御可能なオープンガバメントデータプラットフォームを構築し、政府データのオープンな利用を促進するものとする。
<データ・セキュリティ技術解説>
リソースリストのセキュリティ:異なる機関が共同で構築したリソースリストのセキュリティを守ること。
セキュア・マルチパーティーコンピューティング:異なる機関のデータが共同でクエリを行う際に、クエリプロセスのセキュリティを保護する。
本人確認:政府事務データのオープンプラットフォームのデータ維持とアクセスプロセスのオペレータの本当の身元を特定すること。
アクセス制御:政府事務データのオープンプラットフォームのデータ維持とアクセスプロセスのセキュリティと制御を保護する。
認可と監督:オープンガバメントデータプラットフォームのデータメンテナンスプロセスと重要なデータアクセスプロセスの認可とセキュリティ監督を確保する。
セキュリティ監査:政府事務データのオープンプラットフォームのデータ維持プロセスと重要なデータアクセスプロセスの監査可能性を確保し、ブロックチェーン技術と組み合わせることで、改ざん防止された操作記録を実現することができる。