×

WeChatを開いてQRコードをスキャンする
WeChatパブリックアカウントを購読する

ホームページ 錦天城法律事務所外国法共同事業について 専門分野 インダストリー 律師(弁護士)等の紹介 グローバルネットワーク ニュース 論文/書籍 人材募集 お問い合わせ 配信申込フォーム CN EN JP
ホームページ > 論文/書籍 > 法律考察 > 「ネットワークデータセキュリティリスク評価に関する弁法」

「ネットワークデータセキュリティリスク評価に関する弁法」

 2026-07-0226
[要約]ネットワークデータのセキュリティリスク評価制度の確立、並びに評価頻度・報告義務・監督管理体制の明確化

2026年6月18日、国家インターネット情報弁公室、工業・情報化部、公安部は共同で「ネットワークデータセキュリティリスク評価に関する弁法」(三部門令第24号、以下「弁法」という。2026年8月20日より施行)を公布した。弁法は「データセキュリティ法」や「サイバーセキュリティ法」などに基づいて制定され、リスク評価の手順に関する要件を詳細に規定している。弁法は計25条からなり、異なる種類のネットワークデータ処理者がリスク評価を実施する頻度や要件などを規定しており、主な内容は以下の通りである。

 

一、適用範囲と評価義務

弁法は、中国国内で実施されるネットワークデータセキュリティリスク評価活動に適用される(第2条)。以下の主体は特に留意すべきである。①重要データ処理者は、毎年少なくとも1回リスク評価を実施しなければならず、重要データのセキュリティ状態に重大な変化が生じた場合は速やかに評価を行わなければならない。②一般データ処理者については、少なくとも3年に1回リスク評価を実施することが推奨される(第5条)。

ネットワークデータ処理者は、自ら評価を実施することも、第三者の評価機関に委託することもできる(第7条)。第三者機関による同一事業者に対する連続した評価は3回を超えてはならず(第12条)、リスク評価の実施を他の機関に再委託してはならない(第11条)。

企業は、「ネットワークデータセキュリティ管理条例」第62条における「ネットワークデータ処理者」及び「重要データ」の定義、ならびに第29条の識別・申告手続きに基づき、強制的な年次評価義務を負うべき重要データ処理者に該当するかどうかを自ら判断することができる。

 

二、報告義務(重要データ処理者に適用)

重要データ処理者は、評価完了後、20営業日以内に関連主管部門に評価報告書を提出しなければならず(第16条)、報告書を少なくとも3年間保存しなければならない(第15条)。リスク評価報告書には、処理する重要データの種類・数量、データ処理活動の実施状況、直面するデータセキュリティリスク及びその対応措置などを記載しなければならない(「データセキュリティ法」第30条第2項)。

 

三、違反に対する処罰

規定に従ってリスク評価を実施しなかった場合、または要求通りに評価報告書を提出しなかった場合などについては、「データセキュリティ法」第45条に基づき、是正命令や罰金などの行政処分が科されることがある。是正を拒否した場合、または大量のデータ漏洩などの重大な結果を招いた場合には、業務の一時停止や関連業務許可証の取り消しなどが命じられることがある(第22条)。


沪公网安备 31011502005268号 沪ICP备05002643号