企業が香港に上場する場合のサイバーセキュリティ審査について
2022. 2. 18
企業が香港に上場する場合のサイバーセキュリティ審査について
Q:企業が香港に上場する前には、サイバーセキュリティ審査を申告する必要がありますか?
A:特定の状况でサイバーセキュリティ审査を申告する必要がある。具体的には以下のとおりです。
「サイバーセキュリティ審査弁法」(2022年2月15日から施行、以下「審査弁法」という)第7条では、100万人以上のユーザーの個人情報を把握しているインターネットプラットフォーム運営者が国外に上場する場合、サイバーセキュリティ審査弁公室にサイバーセキュリティ審査を申告しなければならないと規定している。その中で「国外に上場する」という用語は、この条項の適用範囲が香港への上場を除外することを示している。但し、「審査方法」第2条には原則的な規定がある。すなわち、データ取扱者がデータ取扱活動を展開し、国の安全に影響を及ぼすか、または影響を及ぼす可能性がある場合、「審査方法」に従ってサイバーセキュリティ審査を行わなければならない。これによると、「審査方法」第7条では企業の国外上場に対して使用している一律的な定量化基準と比較して、香港に上場するサイバーセキュリティ審査がリスク指向の基準を使用しており、国の安全に影響を及ぼすリスクが確実に存在する場合にのみ、企業にサイバーセキュリティ審査の申告を義務つけることになる。
これと同時に、2021年11月14日国家インターネット情報弁公室が公布した「インターネットデータ安全管理条例(意見募集稿)」(以下「意見募集稿」という)第13条では国外への上場と香港への上場に分けて規定している。すなわち、「100万人以上の個人情報を取扱うデータ取扱者が国外へ上場する場合」と「データ取扱者が香港へ上場し、国の安全に影響を及ぼす可能性がある場合」には企業がサイバーセキュリティ審査を申告しなければならない。また、「意見募集稿」第32条により、域外へ上場したデータ取扱者が毎年データ安全評価を実施し、市レベルのインターネット通信部門に提出することを規定している。このことから、「意見募集稿」では企業が香港に上場する法律の適用について更に明確にする予定であり、企業が域外に上場する場合のサイバーセキュリティ審査申告制度が更に改善されることになる。
