中国、サイバーセキュリティーラベル管理弁法の意見募集稿を発表

中国の国家インターネット情報弁公室と工業情報化部は11月21日、「サイバーセキュリティーラベル管理弁法」の意見募集稿（草案）を発表し、12月6日までの期間で意見募集を開始した。同草案は「サイバーセキュリティー法」などの関連規定に基づいて起草し、製品のサイバーセキュリティー能力（注1）の向上やサイバーセキュリティーと公共の利益の保護を目的としている。

草案では、インターネット接続機能を有する製品を同弁法の適用対象とし、具体的な対象品目について、目録管理を実施するとした。また、国家インターネット情報弁公室と工業情報化部は、段階的に製品目録の策定・公表を行うとした（注2）。製品の生産者によるサイバーセキュリティーラベルの表示は任意参加としつつ、消費者に対しては、ラベルが表示された製品を優先的に選択するよう推奨している。

草案では、サイバーセキュリティーラベルを製品が持つサイバーセキュリティー能力の水準を示す情報ラベルと定義し、その等級を星の数によって「基礎レベル（一つ星）」「増強レベル（二つ星）」「先進レベル（三つ星）」の3段階で表示するとした（注3）。各等級における具体的な安全要件は、実施規則で定める（注4）。また、ラベルには、サイバーセキュリティー等級、生産者名、製品型番、有効期間といった記載事項に加え、スキャンによって検査報告書や詳細なセキュリティー情報を確認できるQRコードの表示が義務付けられている。

ラベル表示を希望する生産者は、実施規則に基づき、製品のサイバーセキュリティー能力検査を実施し、サイバーセキュリティー能力等級を確定した上で検査報告書を取得する必要がある（注5）。その後、指定登録機関（中国電子技術標準化研究院）が運営するオンラインプラットフォームを通じて、検査報告書を含む必要書類を提出し、ラベルの届け出を行う。登録機関は10営業日以内に形式審査を完了させ、届け出情報を公開する。

（注1）同弁法におけるサイバーセキュリティー能力とは、生産者が講じる技術的・管理的措置によって、製品自体が不正なアクセスや攻撃を防ぎ、その安定稼働とデータの完全性・機密性・可用性を確保する能力を指す。

（注2）意見募集稿と同時に公表された第1弾の対象品目リストでは、消費者向けネットワークカメラが含まれており、具体的には、個人や家庭で利用される、インターネット接続機能を持つ独立型カメラが対象となる。ただし、公共安全分野で使用されるネットワークは対象外。

（注3）「基礎レベル」は、脆弱（ぜいじゃく）なパスワードが存在しないことや、ソフトウェアの更新体制が整備されているなど、国家標準が定める基本的な安全要求を満たさなければならない。「增強レベル」は、製品のサイバーセキュリティー能力が国内の先進レベルに達する必要がある。「先進レベル」は、国際的な先進レベルに達するほか、ペネトレーションテストに合格し、高度なサイバー攻撃への耐性を持つことが求められる。

（注4）実施規則は、執筆時点で未発表。草案では、安全要件は現行の国家標準および国際標準との整合性を図るとしている。

（注5）一つ星および二つ星を目指す製品は、自社の試験所または認定された第三者機関での検査が可能だが、三つ星を目指す場合は、これらの検査に加え、適格第三者機関によるペネトレーションテストが必要となる。

（張敏）