グローバル企業の情シスにおける中国のカントリーリスクについて

グローバル企業においては、地元の中国企業が提供する情報システムを導入することもあるかと思います。この場合はカスタマイズも必要になることを考慮して下さい。
2010年頃ですが、導入した情報システムをカスタマイズするため中国深センのハイテクパークにある企業とオフショア(ラボ契約)を結び、以下のようなカントリーリスクを感じました。

  • 人件費の高騰、毎回単価引き上げ交渉が発生する。
  • 優秀なSEの確保ができない、育つと条件の良い会社へすぐに移ってしまう。(3ヶ月~6ヶ月)
  • 仕様書通り作成するが、行間を読んで理解する事は無いので日本の仕様書レベルでは役に立たない。
  • 依頼されたことが出来てない場合もあります。原因はこちらの考慮不足だと思います。※当たり前のことですが依頼方法を変えるべきで感情的に叱ったり、謝らせることは通用しません。
  • 法律が変わることが多く、法の適用が曖昧でとつぜん取り締まられる。
  • 飲食店によっては、かなり不衛生な事がある。
  • 様々な風土病があり、よく分からない。

自分達の仕事のやり方はグローバルで通用しないと感じることも、謙虚になることが大切だと思います。

中国からリモートアクセスして日本にシステムを構築する場合も法律の適用対象になります。

具体的には、取り扱うデータによって安全評価対象の個人情報及び重要データが規制対象となります。
https://www.jetro.go.jp/ext_images/world/asia/cn/law/pdf/others_005.pdf

「サイバーセキュリティ法第37条」の規定によれば、「重要情報インフラストラクチャー運営者は、中華人民共和国国内での運営において収集及び発生した個人情報及び重要データ」の国外移転について、安全評価を行わなければならないとされています。
「重要データ」に関しては、サイバーセキュリティ法上に明文規定が存在しませんが、「安全評価弁法(意見募集稿)」においては、「重要データとは、国の安全保障、経済発展、社会的公益に密接に関連するデータを指し、具体的な範囲は、関連する国の基準及び重要なデータの特定のためのガイドラインの定めによる。」と規定しています。
さらに「安全評価弁法(意見募集稿)」の規定によれば、以下の個人情報及び重要データに関して、ネットワーク運営者は産業管理当局又は監督当局に対し安全評価の申請をしなければならない、とされています。
https://spc.jst.go.jp/experiences/chinese_law/19016.html

ガイドラインは、まだ意見募集本稿の段階ですが、重要データの該当性の判断に関して参考となると考えられます。

  1. 50万人以上を含む、又は累計で50万人以上を含む個人情報
  2. データ量が1,000GBを超える場合
  3. 原子力施設、化学・生物、国防軍需産業、人口・健康等分野のデータ、大型プロジェクト活動、 海洋環境及び機微な地理的情報データ等を含む場合
  4. 重要情報インフラのシステムの脆弱性、セキュリティ防御等のネットワーク安全情報を含む場合
  5. 重要情報インフラの運営者が国外に個人情報及び重要データを提供する場合
  6. その他国の安全及び社会公共の利益に影響を及ぼす可能性があり、業種主管部門又は監督管理部門が評価を行うべきと認める場合

なお、「重要データの該当性の判断」は安全評価弁法の検討段階で明確に定められたものではないので訴訟リスクの考慮が必要です。くれぐれも中国法務に強い弁護士に相談する事をお勧めします。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ