（１）はじめに

欧州一般データ保護規則（General Data Protection Regulation。以下「GDPR」という。）は、個人データの取扱いと関連する自然人の保護に関する規定及び個人データの自由な移動に関する規定を定めるものである（GDPR第1条第1項）。個情法等、わが国の個人情報保護法制に相当するものということができる。

以下の通り、日本企業であってもGDPRの適用を受けることがあるため、日本企業のグローバル展開と、グローバル・コンプライアンス体制の構築に伴い、GDPRを課題とする企業は少なくないと考えられる。そこで、本項においては、GDPRの適用範囲、そしてセキュリティ対策に関連する主な規定について概要を紹介する。

（２）適用範囲

GDPRは、個人データの取扱いがEU¹域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点における活動の過程における個人データの取扱いに²ついて適用される（GDPR第3条第1項）。また、EU域内に拠点が認められない場合であっても①有償無償を問わず、EU域内のデータ主体に対する物品又はサービスの提供、又は②EU域内におけるデータ主体の行動の監視を行う場合には、GDPRの適用があるとされる（同条2項）。

このため、日本企業であっても、EU域内で安定的な仕組みを通じて行われる実効的かつ現実的な活動（GDPR前文第22項。「拠点」の意義をこのように説明する）を行っている場合であって、この活動の過程でなされる個人データの取扱いについては、GDPRの適用を受ける。また、EU域内にそのような拠点がないとしても、①又は②に該当すればGDPRの適用を受け、一定の場合を除き、EU域内における代理人を指名しなければならない（GDPR第27条第1項）。

（３）安全管理に関する主な規定

GDPR第5条は、個人データの取扱いと関連する基本原則を定めている。この中では、「無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。（「完全性及び機密性」）」（同条第1項(f)号）と定められている。これを受けて、様々な義務が設けられているところ、適切な技術上・組織上の措置を明示するものとしては、次のアのほか、管理者の責任（同第24条）、データ保護バイデザイン及びデータ保護バイデフォルト（同第25条）、処理者（同第28条）、データ主体に対する個人データ侵害の連絡（同第34条）がある。その他、完全性・機密性に関連すると考えられる規定を含め、主なものの概要を紹介する。

（４）事例

2019年に入って、安全管理措置を問題とした事例であって、巨額の制裁金を課すことを検討するケースが見られるようになった。英国⁹のデータ保護機関である英国情報コミッショナーズオフィス（ICO¹⁰）に関して、以下の2件が事例として挙げられる。

1. ICOがブリティッシュ・エアウェイズに対し2,000万ポンドの制裁金を課した事例 顧客40万人の個人データが漏えいした事例（クレジットカード情報含む）であり、セキュリティ対策の不備が指摘された¹¹。
2. ICOがマリオット・インターナショナルに対し1,840万ポンドの制裁金を課した事例 顧客に関する3億3900万件の個人データが漏えいした事例（EEA域内の人間のものはその一部）であり、セキュリティ対策の不備が指摘された¹²。

（１）連邦法と州法の関係等

米国では、連邦政府及び州政府それぞれに立法権が認められている。そして、連邦政府が制定した連邦法は、全ての州に適用され、また、州法に優先する（米国合衆国憲法第6章第2項）。サイバーセキュリティについては、連邦法及び州法のいずれのレベルにおいても、包括的な法律は制定されていなかったが、2022年3月、重要インフラのサイバーインシデントについてCISA（サイバーセキュリティ及びインフラストラクチャーセキュリティ庁（the Cybersecurity and Infrastracure Security Agency））への報告を義務付ける法律が制定される¹³といった動きがあるところである。

データ保護については、連邦レベルでは、CCPAの制定以降包括的な連邦データ保護法制定の機運は高まっているものの、現在のところ、データ保護に関する包括的な法律は制定されていない。一方で、州法レベルでは、カリフォルニア州等、包括的な個人情報保護法が制定している州が複数存在する。

なお、連邦レベルにおいても、銀行等の金融機関に適用されるグラム・リーチ・ブライリー法（Gramm-Leach-Bliley Act）（以下「GLBA」という。）や医療関係についての医療保険の相互運用性と説明責任に関する法律（Health Insurance Portability and Accountability Act）（以下「HIPAA」という。）等、分野ごとに個別のデータ保護に関する連邦法が存在する。

（２）データ保護に関する州法

（３）データ保護に関する連邦法

連邦レベルでは、現在のところ、データ保護に関する包括的な法律は制定されていないが分野ごとに個別の連邦法は存在する。例えば、HIPAAは、電子化された医療情報を扱う病院や医療保険会社等を対象とし、保護健康情報（protected health information）について、会社の規模、技術的インフラ、コスト及びリスクの大きさ等に応じて、合理的かつ適切なセキュリティ措置（管理的措置、物理的措置、技術的措置及び組織的措置）を取ることを求めている¹⁵。また、GLBAは、金融機関に対し、顧客の非公開個人情報（nonpublic personal information.）の保護について、特定の要素を含むセキュリティプログラムの実施を義務付けている¹⁶。

（１）各法令の関係性

まず、2017年、ネットワーク空間管理の基本法といえるネットワーク安全法（「サイバーセキュリティ法」ということもある）が、2021年にはデータ安全法と中国個人情報保護法が施行され、これらの三法（以下「データ三法」ということがある）を主要法律として、横断的にネットワーク・データ（個人情報含む。）の保護が図られている。なお、現時点では、法律上は詳細まで定められていない定義や要件が含まれているが、現状、下位法令等の整備は遅れている。そのため、下位法令等で定められていない事項については、国家推奨標準である「情報安全技術個人情報安全規範」等の法的拘束力のない標準・ガイドライン等を参照する必要がある。また、2021年1月1日に施行された中国民法典においても、個人情報、プライバシー権が明記され、一定の義務等が規定されている。

ネットワーク安全法は、Q85で紹介するとおり、ネットワークの安全管理に関連する事項を全般的に規定したサイバーセキュリティの基本法となっている。中国国内においてインターネットを建設・運営・維持・使用する場合、及びインターネットの安全を監督管理する場合に適用されるため、中国以外に所在する企業であっても中国国内で事業を行う場合には適用される可能性がある。適用対象主体は「ネットワーク運営者」で、特に「重要情報インフラ運営者」に当たる場合は、個人情報・重要データの国内保存義務・国外移転規制が課されることとなる。ネットワーク安全法においても個人情報保護の関する規定が存在するが、原則的・概括的な規定に止まる。中国個人情報保護法の施行前は、ネットワーク安全法における個人情報保護に関する規定の重要性は高かったが、中国個人情報保護法の施行とともに、その規定の意義は薄れたといえる。

次に、データ安全法は、データセキュリティに関する責任主体、データセキュリティ保護義務等について規定した基本法となっている。中国国内における個人データに限られない「データ」¹⁷の「取扱行為」¹⁸に適用される。また、同法の域外適用についても規定されている（同法第2条第2項）。

そして、中国個人情報保護法は、GDPRに類似する内容を規定しており、包括的な個人情報の保護についての基本法となっている。個人情報を取り扱う個人情報取扱者の、中国国内における自然人の個人情報の取扱行為のみならず、中国国外における中国国内の自然人の個人情報の取扱行為についても、①国内の自然人に対する製品又は役務の提供を目的とする場合、②国内の自然人の行為を分析し、評価する場合、③法律、行政法規に定めるその他の事由のいずれかに該当する場合は適用対象となる（同法第3条第2項）。また、後述する機微な個人情報についても規定がなされている。

上記のとおり、データ三法は、保護法益・適用対象について、重複する部分はあるものの法目的などの大枠は異なっているといえる。

また、中国個人情報保護法における個人情報の定義¹⁹と、ネットワーク安全法及び中国民法典における個人情報の定義²⁰は書きぶりは異なるものの、自然人の識別可能性を基準に個人情報の範囲を画するという点については同様と考えられる。

なお、今後も、後発の法令によって、適用対象、義務・規制が上乗せされることがありうるため、法令の制定の動向に注意が必要である。以上を踏まえ、以下では、主に中国個人情報保護法のうち、サイバーセキュリティにかかわる部分の概要を紹介する。

（２）機微な個人情報

上記のとおり、中国個人情報保護法では、機微な個人情報について規定がなされている。機微な個人情報とは、「一旦漏洩され、又は不法に使用されると、自然人の人格の尊厳が侵害を受け、又は人身、財産の安全が害されやすい個人情報であり、生体認証、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報や、14歳未満の未成年者の個人情報が含まれる」とされている（同法第28条第1項）。

機微な個人情報を取得する場合、同法で規定されている個人情報の取扱行為前の本人の同意に加え、別途の本人同意を取得する必要がある（同法第29条）。また、一般的な事前告知事項に加え、機微な個人情報の取扱いの必要性及び個人の権益への影響を告知しなければならない（同法第30条）。その他、機微な個人情報を取り扱う場合は、後述する個人情報影響評価を実施しなければならない（同法第55条）。

（３）安全管理に関する主な規定

中国個人情報保護法では、個人情報の安全管理に関わる個人情報取扱者の一般的な義務として、以下の①～⑥の措置義務が規定されている（同法第51条）。なお、ネットワーク安全法第42条第2項においても、個人情報の安全管理措置として、技術的管理措置等を実施しなければならない旨の規定がある²¹。

1. 内部の管理制度及び操作規程の制定義務
2. 個人情報に対する分類管理の実施義務
3. 適切な暗号化、非識別化等の然るべき安全技術の措置義務
4. 個人情報取扱の操作権限を合理的に確定し、かつ定期的に従業員に対して安全教育及び研修を実施する義務
5. 個人情報の安全に関わる事象に対する緊急対応策の制定・実施義務
6. 法律、行政法規に定めるその他義務

また、同法は、取り扱う個人情報が国のネットワーク情報部門の定める数量に達している個人情報取扱者に対して、個人情報保護責任者の指定を要求している（第52条）。「国のネットワーク情報部門の定める数量」の具体的な基準は定められていないが、ネットワーク安全審査弁法や、ネットワークデータ安全管理条例（意見募集稿）を参考にすると、100万人以上分の個人情報が目安となると考えられる

さらに、個人情報取扱者は、以下のいずれかに該当する場合、個人情報影響評価²²を行わなければならない（同法第55条）。

1. 機微な個人情報を取り扱う場合
2. 個人情報を利用した自動化された意思決定を行う場合
3. 個人情報の取扱の委託、その他の個人情報取扱者への個人情報の提供及び個人情報の公開を行う場合
4. 個人情報の国外提供を行う場合
5. その他個人の権益に重大な影響を与える個人情報取扱行為を行う場合

また、個人情報取扱者が、個人情報の取扱いについて委託する場合は、取扱委託の目的、期間、取扱方法、個人情報の種類、保護措置、双方の権利及び義務等について約定した上で、委託者は受託者を監督しなければならないと規定されているため、注意が必要である（同法第21条第1項）。

加えて、個人情報取扱者が、合併、分割、解散、破産宣告等の原因により個人情報を移転する必要がある場合、本人に受領者の名称又は氏名及び連絡先情報を告知しなければならないとされている点も注意が必要である（同法第22条）。

（４）個人情報の漏えい等

中国個人情報保護法の制定前は、個人情報漏えい等のインシデントが発生した又は発生する可能性が生じた際の義務については、ネットワーク安全法第42条第2項で、救済措置、本人への通知及び関係所管機関に対する報告について抽象的な義務が定められていたが、包括的な個人情報取扱者に関する具体的な法律上の義務はなかった²³。

中国個人情報保護法では、個人情報漏えい等のインシデントが発生した又は発生する可能性が生じた際の、個人情報取扱者における、改善措置の実施、監督機関や本人に対する特定事項²⁴の通知に関する義務が規定された（同法第57条第1項）。また、一定の場合、本人への通知が不要になる旨の抽象的規定も設けられた（同条第2項）²⁵。

（１）NIS指令の概要

NIS指令は、欧州連合（EU）加盟国が遵守すべきセキュリティ対策規範を定めるものであり、EU加盟国は、NIS指令が定める要求事項を各国法において定める必要があるところ、既にEUの現加盟国27か国のNIS指令の国内法化（transposition）は完了している。NIS指令は、欧州連合運営条約（Treaties of the European Union）第114条を立法上の根拠として、2016年7月6日に成立し、同年8月8日に施行された。なお、欧州委員会は、2020年12月に指令の適用対象を拡大すること等を盛り込んだNIS2指令案を提案していたところ、2022年11月28日に可決されている⁴。

（２）NIS指令の目的

NIS指令の目的は大きく以下のとおりに分類される。

1. 各国はサイバーセキュリティ国家戦略策定や、Computer Security Incident Response Team設置を含めたサイバーセキュリティインシデント対応の国家的枠組みを構築すること
2. 各国はサイバーセキュリティ関連の情報共有等の国家的枠組みを構築すること
3. 各国は基幹サービス運営者（operator of essential services）やデジタルサービス提供者（digital service provider）に対するインシデント届出義務等を課すセキュリティ法制を定めること

（３）NIS指令の適用対象となる民間事業者⁵

NIS指令の適用対象となる民間事業者は、基幹サービス運営者（operator of essential services）及びデジタルサービス提供者（digital service provider）である。

（４）NIS指令との関係において民間事業者に課される義務の内容

NIS指令は、加盟国に対し、国内法において基幹サービス運営者及びデジタルサービス提供者に対し、大要、以下の義務を課すことを要求する（NIS指令第14条第1項～第3項、第16条第1項～第3項）。

1. EU域内提供サービスに使用するネットワーク及びシステムのリスクを管理するための適切な技術的かつ組織的な措置を講じること
2. EU域内提供サービスに使用するネットワーク及びシステムに対するインシデントによる影響を防止・最小化するための適切な措置を講じること
3. 提供するサービスの継続性に重大な影響を及ぼすインシデントを遅滞なく管轄官庁又はCSIRTに対し通知すること

さらに、NIS指令は、加盟国に対し、NIS指令に基づき採択された国内規定への違反があった場合に適用可能な罰則規定を定め、その実施を確保するための適切な措置を講じることを要求する（NIS指令第21条）。

（５）EUサイバーセキュリティ法

EUサイバーセキュリティ法は、欧州ネットワーク情報セキュリティ庁（European Union Agency for Cybersecurity）の目的、役割、組織、権限等について定めるとともに、EU域内におけるICT製品、ICTサービス及びICTプロセスに関する統一的なサイバーセキュリティ認証制度である欧州サイバーセキュリティ認証フレームワーク（European cybersecurity certification framework）の確立を目的とする法律であり、2019年4月17日に成立し、同年6月27日に施行された。EU加盟国は、EUサイバーセキュリティ法に基づき、EU域内で製造・販売されるICT製品、ICTサービス及びICTプロセスのセキュリティ認証の規格統一を目指しており、今後ICT製品、ICTサービス及びICTプロセスのタイプや類型ごとに認証基準が順次作成されることが予定されている。

（１）包括的なサイバーセキュリティに関する連邦法の有無

米国においては、連邦法及び州法のいずれのレベルにおいてもサイバーセキュリティに係る包括的な法律は制定されていない。ただし、近年、米国においてランサムウェア攻撃による被害が急増していることから、OFACやFinCENが勧告を公表する等、規制を強化している。

（２）ランサムウェアに関する規制

OFACの規制の中には、外交政策・安全保障上の目的から特定の国・地域及び制裁対象者リスト（Spcecially Designated Nationals and Blocked Persons List）（以下「SDNリスト」という。）に記載された個人・団体等を対象として取引制限や資産凍結等の措置を講じているものがある。そして、OFAC規制は、主に米国人・米国法人を対象とする措置（一次的制裁）と非米国人・非米国法人を対象とする措置（二次的制裁）に分類されるが、このうち一次的制裁は制裁金のみならず、刑事罰の対象となる上に、米国との接点がある限り、非米国人・非米国法人であっても域外適用される可能性がある。

近年、米国においてランサムウェア攻撃による被害が急増していることを受けて、2021年9月21日、OFACは、ランサムウェアの支払いの促進についての潜在的制裁リスクについてのアップデート版の勧告（Updated Advisory on Potential Sanctions Risks for Faciliating Ransomware Payments）（以下「OFAC勧告」という。）⁶を公表し、同年のうちに複数の暗号資産取引所をSDNリストに追加している。

OFAC勧告では、ランサムウェアの支払いへの協力はOFAC規制に違反し、厳格責任に基づく制裁金の対象となりうることを明記するとともに、制裁遵守プログラム（Sanctions Compliance Program）の存在、性質及び適切性や、サイバーセキュリティ及びインフラストラクチャーセキュリティ庁（CISA: the Cybersecurity and Infrastracure Security Agency）の「ランサムウェアガイド2020年9月」（Ransamware Guide September 2020）⁷において強調されているサイバーセキュリティプラクティスの採用又は改良を通じたリスク軽減のステップが、制裁の決定に際して、制裁緩和の要素として考慮されるとしている。さらに、OFAC勧告においては、ランサムウェアの支払いを被害者に代わって行うことに関与する企業は、金融犯罪取締網（Financial Crimes Enforcement Network）（以下「FinCEN」という。）の規制を遵守する義務があるか否かに留意すべきである旨記載し、脚注においてFinCENの2020年10月1日付勧告（Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments⁸）（以下「FinCEN勧告」という。なお、FinCEN勧告は2021年11月8日付でアップデートされている⁹。）を引用している。

FinCEN勧告は、金融機関が、銀行秘密法（Bank Security Act）に定める義務を遵守することを通じて、米国の金融システムをランサムウェアの脅威から守ることについて重要な役割を果たすとしつつ、金融機関は、ランサムウェア事案を扱う場合には、疑わしい取引報告（Suspicious Activity Reporting）（以下「SAR」という。）を行うことの要否・適否について決定すべきであるとしている。

さらに、換金可能な暗号資産の交換業者（CVC exchanges）を含む金融機関が、ランサムウェア攻撃に関連する疑わしい取引を特定し、SARの義務を果たすことの重要性に照らし、FinCEN及び法執行機関は、ランサムウェア攻撃に関する疑わしい取引は、「即時の注意が要求される違反に関する事態」¹⁰に該当する（金融機関による即時の通知が必要となる）と考える旨表明し、金融機関に対して、疑わしい取引の報告義務の履行を求めている。

（１）主要な法律

Q84のとおり、中国においては、2017年にネットワーク空間管理の基本法といえるネットワーク安全法（サイバーセキュリティ法）が、2021年にはデータ安全法と中国個人情報保護法が施行され、これらの三法（以下「データ三法」ということがある）を主要法律として横断的にサイバーセキュリティを含むデータの保護を図っている（中国個人情報保護法についてはQ84を参照）。

（２）ネットワーク安全法

（３）データ安全法

データ安全法は、中国国内で「データ取扱行為」を行う場合に適用される（同法第2条第1項）。取扱行為とは、収集、保存、使用、加工、伝達、提供、開示等をいう（同法第3条第2項）。域外適用については、中国国外で行われるデータ取扱行為によって中国の国家安全、公共利益または公民、組織の合法的な権益を害した場合、法的責任を追及することとされている（同法第2条第2項）。

データ取扱者に対する主な義務をいくつか挙げると、まず、データ安全保護義務が課される。データ取扱者は、データセキュリティ体制整備（同法第27条第1項など）を行い、法令の規定に基づく「全過程のデータ安全管理制度」を確立・整備し、教育研修の実施を手配し、相応の技術措置等を取らなければならない（同法第27条）。

次に、データ取扱行為においてはリスクモニタリングを強化し、安全上の欠陥、脆弱性等のリスクを発見した場合の対応や、インシデント発生時の処置（ユーザ及び関連主管部門への告知・報告も含む）に関する義務がある（同法第29条）。

また、データについて、一般データ、重要データ、国家核心データという３つの類型分けがなされており、重要データの取扱いに関しては、データ安全責任者・管理機構の明確化（同法第27条2項）、定期的なリスク評価の実施と関連主管部門への報告（同法第30条）といった義務が加わることとなる。

（４）ネットワーク安全審査規則

「ネットワーク安全審査規則」によれば、重要情報インフラ運営者によるネットワーク製品及びサービスの調達、ネットワーク・プラットフォーム運営者によるデータ取扱行為が、国家の安全に影響を及ぼし得る場合には、ネットワーク安全審査を行わなければならないとされている（同規則第2条第1項）。

また、重要情報インフラ運営者がネットワーク製品及びサービスを調達する場合、当該製品及びサービスによる国家安全リスクを事前に判断しなければならず、国家の安全に影響を及ぼし得る場合は、ネットワーク安全審査弁公室に対しネットワーク安全審査を申告しなければならないとされている（同規則第5条）。

さらに、100万を超えるユーザの個人情報を保有するネットワーク・プラットフォーム運営者が国外で上場する場合、ネットワーク安全審査弁公室に対し、ネットワーク安全審査を申告しなければならないとされており（同規則第7条）、中国国内において多数の個人情報を扱う企業が中国国外で上場しようとする場合には、当局による安全審査を経る必要が生じ、その運用によっては中国国外でのIPO実務に影響があり得る点に留意が必要である。