『工業インターネットセキュリティ強化に関する指導意見』が2019年7月26日に公布

    近年、産業スマート化の産物である工業インターネットの急速な発達に伴い、人、コンピューター、物の間には密接な関係が構築されるようになっている。工業インターネットの運営において、データ・情報の収集、分析、伝送、保存などを行う必要がある。それらのデータ・情報は個人のプライバシー、企業の営業秘密、さらに国家機密に係る。情報保護を強化するために、国は、『インターネット安全法』、『産業制御ネットワークのセキュリティリスク評価規範』などを公布した。

    工業インターネットのセキュリティ管理を一層強化するために、2019年7月26日に中国工業・情報化部が他の9つの部門と連名で『工業インターネットセキュリティ強化の指導意見』(以下『指導意見』という)を公布した。関連企業にとって、以下のポイントに注意を払うべきである。 

    1、企業内部責任制の実施

    工業インターネットに係る業務、例えばデータの収集、コンピューター制御の授権などは、隠匿性・不可視性の特徴がある。『指導意見』では企業内部責任制を定めており、「企業は工業インターネットセキュリティ責任部門及び責任者を設け、重点的な設備とインターネットシステムとの接続前後のリスク評価、セキュリティ審査などの制度を制定・完備し、セキュリティ事件報告・責任追及メカニズムを構築する。」ことを明確にした。

    インターネットセキュリティ事件による安全生産事故については、処分の根拠となる規定がないため、『指導意見』では、「安全生産の関連規定に従い処置できる」ことを定めた。

    2、セキュリティ保護能力の強化

    『指導意見』では、以下のことを強調した。(1)国はデータ収集、保存、プロセッシング、移転、削除などに係るセキュリティ保護の要求を明確にし、研究開発・設計、工業生産、運営メンテナンス管理、スステム知識メカニズム、デジタル化モデルにおける機密の漏洩・改ざんを防止し、データバックアップを行うためのセキュリティ保護措置を完備するように企業を指導し、工業インターネットに係るデータ保護における商用暗号の運用を激励する。(2)国は工業の分類・領域、データの種類、データの価値などに応じて、工業インターネットデータの等級別・種類別管理制度を構築し、重要データ越境移転のセキュリティ評価・モニタリングを行い、重大工業インターネットデータ漏洩事件のフィードバックメカニズムを完備する。 

    『指導意見』は、今後の関連法規定、国家基準の方向性を示している。工業インターネットに係る企業は、認識不足による法律違反を回避するに、立法の動向に関心を寄せるべきである。