上海物来喜電子商務有限公司上海物来喜電子商務有限公司

お役立ち情報

お役立ち情報

人気情報ランキング

【中国G13】 安全法規制と企業の責任(被害者でも罰則対象になる)2025.09.20

中国 ホームページ制作、中国 デジタルマーケティング、中国 コンテンツマーケティング。中国では企業がサイバー攻撃の被害者であっても、セキュリティ対策が不十分と判断されれば、罰則対象となる。実際の事例では、技術的な脆弱性や管理体制の欠如が原因で、改ざんや、情報漏洩が発生し、是正命令や罰金が科された。セキュリティはコストではなく、持続可能な事業運営のための投資である。

 

 1. サイバーセキュリティは他人事ではない

①日系企業の皆様は、自社のホームページ
やデータ管理について、 十分な対策を講じ
ていると自信を持って言えますか。

 

2025年9月に、 中国国家インターネット情報弁公室
(網信辦)が発表した「ネットワーク安全、データ
安全、個人情報保護罰則例」は、企業の「セキュリ
ティ対策に対する考え方」を根本から変える内容と
なっている。

 

 

②最も重要な点は、以下の現実である。
「たとえ改ざん被害者であっても セキュリティ
 対策を怠ったとみなされれば、罰則を受ける」

 

これは単に技術的な対策だけでなく、管理的な
対策の重要性も問われていることを示している。
   ↓
中国で事業を展開する日系企業にとって、
「法規制」を理解し遵守することは必須。

 

 

③今回は、実際の罰則事例から学び、
具体的な対策方法についてお話する。

 

 

 

 2. 罰則事例から学ぶケーススタディ

【罰則事例❶】広東省の企業
(Webページ改ざん事件)

内容:業務承認プラットフォームのログインペー
ジが 改ざんされ、 有害コンテンツが 掲載された。
原因は修正パッチを適用せず、リモートコントロ
ール型のトロイの木馬をアップロードされたため。

 

教訓:ソフトウェアの更新管理は必須。
「パッチ適用の怠慢」が 重大なセキュ
リティインシデントに繋がる。

適用法令:サイバーセキュリティ法
罰則:是正命令、警告、罰金

 

 

セキュリティインシデントとは、マルウェアの感染や、不正アクセ
ス、機密情報の流出など、セキュリティ上の脅威となる事象を指す。

 

(参考:中国国家インターネット情報弁公室「ネットワー
ク安全、データ安全、個人情報保護罰則例」 (2025年9月))

 

 

 

【罰則事例❷】新疆ウイグル自治区の企業
(Webページ改ざん事件)

内容:自社ホームページが改ざんされ、
違法なコンテンツが掲載された。
セキュリティ上の欠陥があり、ホームページ管
理者が不在で管理されていなかったことが原因。

 

教訓:管理体制の不備も、立派な違反対象である。
「担当者不在の状態での運営状況」は極めて危険。

 

適用法令:ネットワークセキュリティ法
罰則:是正命令、警告、処罰

 

 

 

【罰則事例❸】山東省の医学検査企業(データ侵害事件)

内容:特定システムのデータが検索エンジン
のクローラーによって、取得され、漏洩した。

原因は、以下。
・ディレクトリブラウジングが有効になっていたこと
・ファイアウォールの侵入防止ポリシーの不備
・ネットワークログの不備

 

教訓:技術的な対策だけでなく、適
切な設定と監視体制が不可欠である。

 

適用法令:サイバーセキュリティ法、データセキュリティ法、ネットワークデータセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

ディレクトリリスティングとは、サーバーが特定のディレクトリ
に対するアクセスを許可することで、ディレクトリ内に保存され
る本来見えないはずのファイルなどの一覧を表示する機能を指す。

公開される意図のないバックアップファイルや、設定
ファイル、ログファイルなどが第三者に見られ、シス
テムの脆弱性を突く手がかりになる可能性がある。

 

ネットワークログとは、コンピュータシステムやネットワーク機器な
どで発生する様々な出来事や操作履歴を記録したデータのことを指す。
      ↓
システムや、アプリケーションが動作している間に生じたエラーや
ユーザーの操作、アクセス履歴、システムの状態変化などを記録し、
トラブルシューティングやセキュリティの監視などに利用される。

 

 

 

【罰則事例❹】浙江省の企業(データ盗難事件)

内容:ERPシステム関連データが 盗難された。
匿名アクセスを許可し、 クラウドサーバーの
セキュリティグループルール設定不備が 原因。

 

教訓:クラウド環境における、アク
セス制御の重要性を示す事例である。

 

適用法令:データセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

【罰則事例❺】重慶市の企業(データ盗難事件)

内容:レンタルサービス用「OA情報
システム」の データが、 盗難された。
パスワード無しのMySQLデータベースサ
ービスを 公開ポートで運用していたため。

 

教訓:基本的なセキュリティ対策(パス
ワード設定)の欠如が重大な結果を招く。

 

適用法令:サイバーセキュリティ法、データセキュリティ法、ネットワークデータセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

【罰則事例❻】広東省の保険代理企業(データ盗難事件)

内容:保険代理店サービス用バックエ
ンドシステムのデータが、盗難された。

原因は、以下。
・不正なディレクトリトラバーサルアクセスが可能
・クラウドファイアウォールサービスの無効化
・ネットワークログを保持していなかったこと

 

教訓:多層防御の重要性と
ログ管理の必要性を示している。

 

適用法令:サイバーセキュリティ法、データセキュリティ法、ネットワークデータセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

ディレクトリ・トラバーサル攻撃とは、ディレクトリ内部に不正アクセ
スして、ファイルを閲覧したり、書き換えたりするサイバー攻撃のこと。
   ↓
攻撃を受け、データを不正に操作されると、情報漏洩やデータ流出の
危険にさらされ、最悪の場合には社会的な信用が失われる恐れがある。

 

 

 

【罰則事例❼】湖南省の企業 (データ漏洩セキュリティリスク事例)

内容:会社のイントラネットデ
ータベースのデータが漏洩した。

ソフトウェア開発者が業務効率化のため、
イントラネットをインターネットに公開
し、弱いパスワード設定が原因。

 

教訓:利便性と、セキュリティのバランス、適切
な「パスワードポリシー」の重要性を 示している。

 

適用法令:サイバーセキュリティ法、データセキュリティ法、ネットワークデータセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

イントラネットとは、 企業内ネットワークのことで、
インターネットと同じ「TCP/IP」という プロトコル
(通信規格)を企業内ネットワークに適用したもの。

同じプロトコルを使用しているため、 インターネット
を利用する時と同じように、 Webブラウザや、メール
アプリを利用できる。
   ↓
社外秘などの情報を取り扱うことができる
ため、主に以下の用途に使用される。
・グループウェア(社内での情報共有)
・社内wiki(就業規則、議事録、マニュアルを共有)
・社内SNS(社内コミュニケーションの活性化)など

 

 

 

【罰則事例❽】北京市の企業(個人情報の過剰収集)

内容:アプリが提供サービスとは関係ない個人
情報を収集。ユーザーが使用していないときも
バックグラウンドで情報収集を行い、不要な情
報を取得していた。

 

教訓:プライバシーバイデザインの考え方
とデータ最小化原則の重要性を示している。

 

適用法令:サイバーセキュリティ法、データセキュリティ法、ネットワークデータセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

プライバシーバイデザイン(以下、PbD)とは、サービスやシステムの
企画・設計段階から、プライバシー保護の対策を組み込むという考え方。
   ↓
問題が発生してから事後的に対応するのではなく、開発の初期段階
からプライバシー侵害のリスクを、予防的に排除することを目指す。

PbDの主な目的は、 プライバシー侵害の未
然防止や 、信頼性の向上、法令遵守の強化。

 

 

 

【罰則事例❾】上海市の企業(顔情報の不正収集事件)

内容:アプリが不正に顔情報を収集。
同意なく顔情報を収集し、個人情報
保護管理体制が不十分だった。

プライバシー・バイ・デザイン
の考え方も存在しなかった。

 

教訓:バイオメトリクス情報の ような機微
な個人情報の取り扱いには特に注意が必要。

 

適用法令:サイバーセキュリティ法、データセキュリティ法、ネットワークデータセキュリティ管理条例
罰則:是正命令、警告、罰金

 

 

 

 3. 対策のための実践的アドバイス

【対策❶】技術的対策

⑴ 定期的な脆弱性診断とパッチ管理

月次のスキャン実施と 重大な脆弱性は、
72時間以内の対応を心がけること。

自動更新システムの導入を検討することも有効。

 

 

⑵ アクセス制御の強化

最小権限の原則に基づいた、
アクセス権限の設定が重要。
   ↓
多要素認証の導入が、特に
管理者権限の場合には必須。

 

 

⑶ 暗号化の実施

転送中のデータの暗号化と、 保存データ
の暗号化 (特に個人情報) を実施すること。

 

 

【対策❷】管理的対策

⑴ セキュリティポリシーの策定と周知

全社員が理解できる平易な文章での
ポリシー策定が求められる。

年次での見直しと訓練の実施も重要。

 

 

⑵ インシデント対応計画の策定

発生時の連絡体制の明確化と
定期的な訓練の実施が、必要。

 

 

インシデントとは、実際に事故や事件が発生したものの、影響が小
さかったり、重大な被害には至らなかったりした出来事を指す言葉。

 

 

⑶ 記録の保持と監視

6ヶ月以上のログ保存(中国法規制では
最低6ヶ月が要求される場合がある)と、
異常検知システムの導入を検討すること。

 

 

 

 4. まとめ(予防こそ最良の対策)

①中国のネットワーク安全法規制は、単なる
技術的な合规性を求めるだけでなく、組織全
体としてのセキュリティ管理体制を問うもの
となっています。

 

「被害者である」という言い訳は通用せず、
「予防的な対策を講じているかどうかが問われ
 る時代になった」ということを認識すること。

 

 

②日系企業としてすべきことは、以下。

・自社のセキュリティ対策の現状把握
・ギャップ分析と優先順位の決定
・計画的かつ継続的な改善活動の実施
・関係当局との積極的なコミュニケーション

 

 

③「サイバーセキュリティ」はコストではなく、
ビジネスを持続可能にするための投資です。

まずは、OSやソフトウェア、ブラウザを最新の
バージョンにするところから 開始してください。

 

 

※本記事は一般的な情報提供を目的としてお
り、 法的助言を提供するものではありません。

具体的な対応については専門家
に相談することをお勧めします。

 

 

参考資料:
・中国国家インターネット情報弁公室「ネットワーク
 安全、データ安全、個人情報保護罰則例」(2025年9月)
・中国サイバーセキュリティ法
・中国データセキュリティ法
・個人情報保護法
・ネットワークデータセキュリティ管理条例

 

 

(参考)中国データ三法は企業に「コンプライアンス義務」を課している

 

 

 

 

「この記事についてのご意見をお聞かせください」
ご意見を反映させてお役立ち情報を作成していきます。

※コンテンツは AI⽣成により基本⽂章を作成しています。
※上記の画像は DALL・E3によって作成されたものです。

※各例の掲載企業名は、プライバシー保護のため、仮称を
使⽤している場合があります。ご了承の上お読みください。

※ 弊社の「お役⽴ち情報」はスマホ画⾯で読む⽅が増えており、
スマホ画⾯で読みやすくすることを標準仕様としています。
ブラウザの設定画⾯にある「フォントサイズを調整すること」
で、格段に読みやすくなります。ぜひ、試してみてください。

本ホームページの収録内容はすべて当社に著作権があります。
無断転載・複製は、固くお断りいたします。
以下の場合には、お気軽にお問い合わせください。
サービス内容 / 機能の実現性 / お⾒積もり

無料相談
お役立ち情報