『サイバーセキュリティ審査弁法』が2022年2月15日より施行

『データセキュリティ法』、『重要情報インフラセキュリティ保護条例』の公布に際し、元『サイバーセキュリティ審査弁法』（2020年6月1日施行、以下『2020弁法』という）における「セキュリティ審査」に関する規定と新しく交付される法令・条例を如何に結びつけるのかが課題となる。このような背景の下、国家インターネット情報弁公室等13部門は2021年12月28日に改正後の『サイバーセキュリティ審査弁法』（以下『2021弁法』という）を公布、2022年2月15日より施行されることになった。

以下は『2021弁法』のポイントを説明する。

1、セキュリティ審査対象の拡大

『2020弁法』では、重要情報インフラ運営者を審査対象としている。これに基づき、『2021弁法』では、「ネットワークプラットフォーム事業者」が審査対象として追加された。但し、『2020弁法』は、「ネットワーク製品・サービスを調達する行為」に対して審査を行い、『2021弁法』は、「データ処理活動」に対して審査を行う。

2、海外上場に対するセキュリティ審査管理の強化

『2021弁法』第7条には、「100万人以上のユーザーの個人情報を保有しているネットワークプラットフォーム事業者が海外で上場する場合、ネットワークセキュリティ審査弁公室にネットワークセキュリティ審査を申告しなければならない。」と規定している。

海外上場に対するセキュリティ審査の監督管理はさらに厳しくなる見込みである。新しく公布された『ネットワークデータセキュリティ管理条例（意見募集稿）』第13条によると、以下のいずれかの状況に該当する場合は、自主申告を行わなければならない。（1）国家の安全、経済の発展、公共の利益等に関するデータ資源を大量に保有するネットワークプラットフォーム事業者が国家の安全に影響を及ぼした、又は及ぼすおそれがある合併・組織再編・分割を行う場合。（2）データ処理者が香港で上場し、国家の安全保障に影響を及ぼした、又は及ぼすおそれがある場合。この点については、今後正式版の公布により一層明確にされる見込みである。

3、評価対象・評価情状の追加

『2020弁法』では4つの評価対象・評価情状を定めた。これに基づいて、『2021弁法』では、2つを新規追加した。