特集2：サイバーセキュリティと金融規制監督

中国証券業におけるサイバーセキュリティの強化に向けた動き

関根　栄一、宋　良也

要約

1. 中国証券監督管理委員会（証監会）は2023年2月27日に、「証券・先物業のネットワーク及び情報セキュリティ管理弁法」（以下、管理弁法）を公布し、同年5月1日に施行した。管理弁法は、中国の証券業における初めてのサイバーセキュリティに関するルールとして、証券市場の公共インフラの運営機関と証券業者の義務等を定めている。
2. 管理弁法制定の背景には、中国でサイバー関連事案（インシデント）発生への対応強化がある。全国人民代表大会は2016年以降、「サイバーセキュリティ法」、「データセキュリティ法」及び「個人情報保護法」といういわゆる「データ三法」を順次公布・施行し、中国全体のサイバーセキュリティの基礎となる法体系を整備した。今般の管理弁法は、上位法であるデータ三法が求める内容を証券業に適用することが目的となっている。
3. 上位法の要求を具体化するため、管理弁法では、（1）ネットワーク及び情報の安全な運用、（2）投資家の個人情報保護、（3）ネットワーク及び情報の安全面での応急措置、（4）重要情報インフラ施設（CII）の安全確保、の4つの分野に対し、規定を設けている。また、当局による管理監督の強化措置として、証監会が主導する集中的データバックアップ制度の構築や、ITサービス提供者に対する管理監督の強化が盛り込まれている。
4. アジア証券業金融市場協会（ASIFMA）は、2022年4月の管理弁法のパブリックコメント募集時に証監会に提出したフィードバック意見にて、当局へのデータ提供や当局が主導する上記施策に対し、企業の自主性を十分に発揮・尊重した上での対応が望ましいと提案し、その一部は正式版に取り入れられたように見受けられる。今後、中国の証券業界におけるサイバーセキュリティの法整備に関する取り組みがどのように現場レベルにまで反映されるのか、適用対象機関のサイバーレジリエンス向上にどの程度寄与するのかが注目される。