サイバーセキュリティ等級保護届出とは?
2022. 8. 24
サイバーセキュリティ等級保護届出とは?
Q: サイバーセキュリティ等級保護届出とは?
A:サイバーセキュリティ等級保護制度とは、等級保護対象(現在、主に情報システム、通信ネットワーク施設とデータ資源を含む)を重要度(損壊時の影響範囲、被害規模)によって5等級に区分し、各等級の対応範囲、運営者の義務と対応措置などを定めた制度である。中国のサイバーセキュリティ領域における最も重要な制度の一つで、2007年6月22日に施行された「情報等級安全保護管理弁法」において定められた。その中で、第二級以上と確定された情報システムは要求に応じて届出手続きを行わなければならない。2017年の「中華人民共和国サイバーセキュリティ法」(以下「サイバーセキュリティ法」という)の正式な実施は、等級保護2.0の正式なスタートを示している。「サイバーセキュリティ法」第21条の規定により、中国はサイバーセキュリティ等級保護制度を実施し、ネットワーク運営者はサイバーセキュリティ等級保護制度の要求に従って、関連するセキュリティ保護義務を履行しなければならない。2018年6月27日、公安部が発表した「サイバーセキュリティ等級保護条例(意見募集稿)」及び関連国家標準(例えば、GB/T25058-2019「ネットワークセキュリティ等級保護実施ガイド」)は等級保護2.0の要求と標準体系を詳細に規定している。
企業にとって、まず留意すべきなのは、等級保護の対象は企業ではなくシステムであり、実際には多くの企業が異なるシステムを持っている。例えば、従業員向けの企業管理システム、メールシステム、オフィスシステムなど、顧客向けのサービスを提供する様々なシステムがある。多くの企業では、企業内でのみ適用されるシステムは届出が必要な範囲ではないと考えているが、この考えは実は間違っている。実際、サイバーセキュリティ等級保護制度は様々なシステムに普遍的に適用されており、内部システムと外部システムを区別していない。リスクの程度によって、内部システムと外部システムはレベルが異なる可能性があるが、サイバーセキュリティ等級保護の届け出が必要かどうかの問題では違いはない。複数のシステムがある企業にとっては、複数のシステムについて個別に届出手続きをしなければならない。異なるシステムは異なる等級に定められている可能性があり、互いに代替したり含めたりすることはできない。これらの要求は外資系企業にとっても例外ではない。
届け出を行う前に、まず関連国家標準に基づき、自ら又は専門機関の協力により、サイバーセキュリティ保護等級の状況に対して等級評価を実施し、情報システムが第二級を確定してから30日以内に、所在地に区を設置した市級以上の公安機関に届け出手続きを行う。届け出後、公安機関は情報システムの届け出状況を審査し、等級保護の要求を満たす場合、届け出資料を受け取った日から10営業日以内に情報システムのセキュリティ等級保護届け出証明書を発行する。
