中国 国家サイバースペース管理局 パブコメ ネットワークデータセキュリティリスク評価弁法案 (2025.12.06)

こんにちは、丸山満彦です。

データセキュリティ法、ネットワークデータセキュリティ管理条例等に基づき、ネットワークデータセキュリティリスク評価を規範化...

気になった点

・重要データ処理者は、毎年1回のリスク評価が義務化、一般データ処理者は3年に1回のリスク評価が推奨されていますね...

・第三者機関: 認定を受けた機関を優先的に選択すべきとされ、同一機関が同一の処理者に対して3回連続を超えて評価を行うことは禁止

・重要データ処理者は、評価完了後10営業日以内に管轄当局等へ評価報告書を提出

・報告書は少なくとも3年間保存

・評価報告書の真実性や正確性を抜き取り検査

ですかね...

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2025.12.06 国家互联网信息办公室关于《网络数据安全风险评估办法（征求意见稿）》公开征求意见的通知

国家互联网信息办公室关于《网络数据安全风险评估办法（征求意见稿）》公开征求意见的通知	国家サイバースペース管理局による「ネットワークデータセキュリティリスク評価弁法（意見募集稿）」の公開意見募集に関する通知
为规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规，国家互联网信息办公室起草了《网络数据安全风险评估办法（征求意见稿）》，现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见：	ネットワークデータセキュリティリスク評価活動を規範化し、ネットワークデータセキュリティを保障し、ネットワークデータの法的かつ合理的かつ効果的な利用を促進するため、「中華人民共和国データセキュリティ法」「ネットワークデータセキュリティ管理条例」等の法律法規に基づき、国家サイバースペース管理局は「ネットワークデータセキュリティリスク評価弁法（意見募集稿）」を起草した。ここに社会に向けて公開意見募集を行う。一般市民は以下の方法により意見を提出できる：
...	...
附件：网络数据安全风险评估办法（征求意见稿）	添付資料：ネットワークデータセキュリティリスク評価弁法（意見募集稿）
国家互联网信息办公室	国家サイバースペース管理局
2025年12月6日	2025年12月6日
网络数据安全风险评估办法	ネットワークデータセキュリティリスク評価弁法
（征求意见稿）	（意見募集稿）
第一条 为了规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规，制定本办法。	第一条　ネットワークデータセキュリティリスク評価活動を規範化し、ネットワークデータの安全性を保障し、ネットワークデータの法的・合理的・効果的な利用を促進するため、「中華人民共和国データ安全法」、「中華人民共和国サイバーセキュリティ法」、「ネットワークデータ安全管理条例」等の法律・法規に基づき、本弁法を制定する。
第二条 在中华人民共和国境内开展网络数据安全风险评估，应当遵守本办法。法律、行政法规、部门规章另有规定的，依照其规定。	第二条　中華人民共和国国内においてネットワークデータセキュリティリスク評価を実施する場合は、本弁法に従わなければならない。法律、行政法規、部門規則に別段の定めがある場合は、その規定に従う。
本办法所称网络数据安全风险评估（以下简称风险评估），是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。	本弁法において「ネットワークデータセキュリティリスク評価」（以下「リスク評価」という）とは、ネットワークデータ及びネットワークデータ処理活動の安全性に対するリスク特定、リスク分析、リスク評価等の活動を指す。
第三条 国家网信部门在国家数据安全工作协调机制指导下，统筹各地区、各部门开展风险评估，加强工作协调、信息共享。	第三条 国家インターネット情報弁公室は、国家データセキュリティ業務調整メカニズムの指導の下、各地域・各部門によるリスク評価の実施を統括し、業務調整及び情報共有を強化する。
第四条 各有关主管部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，定期组织开展本行业、本领域风险评估，可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划。	第四条 各関係主管部門は、「業務を管理する者が業務データを管理し、データセキュリティを管理する」という原則に基づき、定期的に自業界・自分野のリスク評価を実施する。業務の必要性に応じて、自業界・自分野の重要なデータ処理者に対するリスク評価の実施状況を検査することができ、毎年1月末までに国家ネット情報部門に年度リスク評価及び検査計画を提出する。
省级网信部门统筹省级有关部门制定本行政区域年度风险评估及检查计划，按照前款要求报送国家网信部门。	省級ネット情報部門は、省級関係部門を統括し、当該行政区域の年度リスク評価及び検査計画を策定し、前項の要求に基づき国家ネット情報部門に提出する。
第五条 国家网信部门在国家数据安全工作协调机制指导下，统筹有关主管部门和省级网信部门报送的年度风险评估及检查计划，避免重复评估、重复检查。	第五条 国家ネット情報部門は、国家データセキュリティ業務調整メカニズムの指導のもと、関係主管部門及び省級ネット情報部門から提出された年度リスク評価及び検査計画を統括し、重複評価・重複検査を避ける。
各有关部门开展检查不得向被检查的网络数据处理者收取费用。	各関係部門が検査を実施する場合、検査対象のネットワークデータ処理者から費用を徴収してはならない。
第六条 处理重要数据的网络数据处理者（以下简称重要数据处理者）应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展风险评估。	第六条　重要データを処理するネットワークデータ処理者（以下「重要データ処理者」という）は、毎年自らのネットワークデータ処理活動についてリスク評価を実施しなければならない。重要データの安全状態に重大な変化が生じ、データ安全に悪影響を及ぼす可能性がある場合は、変化及びその影響が生じた部分について速やかにリスク評価を実施しなければならない。
鼓励处理一般数据的网络数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。	一般データを処理するネットワークデータ処理者（以下「一般データ処理者」という）は、少なくとも3年に1回リスク評価を実施することが推奨される。
第七条 风险评估工作应当按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》（GB/T 45577）等有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的，从其规定。	第七条 リスク評価作業は、「ネットワークデータ安全管理条例」の関連要求及び「データ安全技術 データ安全リスク評価方法」（GB/T 45577）等の関連国家標準に基づき実施するものとする。関係主管部門が当該業界・分野におけるリスク評価作業について別途規定がある場合は、その規定に従う。
第八条 网络数据处理者可以自行或者委托第三方评估机构（以下简称评估机构）开展风险评估。	第八条 ネットワークデータ処理者は、自らまたは第三者評価機関（以下「評価機関」という）に委託してリスク評価を実施することができる。
网络数据处理者自行开展风险评估，应当指定专人负责。网络数据处理者委托评估机构开展风险评估，应当优先选择通过认证的评估机构，并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务等。	ネットワークデータ処理者が自らリスク評価を実施する場合、専任の責任者を指定しなければならない。評価機関に委託する場合、認証を取得した評価機関を優先的に選択し、契約その他の法的効力を有する文書により双方の権利・責任・守秘義務等を明確にしなければならない。
第九条 经国务院认证认可监督管理部门依法批准的具有数据安全服务认证资质的认证机构，可按照《数据安全技术 数据安全评估机构能力要求》（GB/T 45389）等有关国家标准、行业标准对评估机构开展认证。	第九条 国務院認証認可監督管理部門の法定承認を得たデータセキュリティサービス認証資格を有する認証機関は、「データセキュリティ技術 データセキュリティ評価機関能力要求」（GB/T 45389）等の関連国家標準・業界標準に基づき、評価機関の認証を実施することができる。
第十条 评估机构开展风险评估应当遵守法律法规，公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责，不得再委托其他机构开展风险评估。	第十条 評価機関はリスク評価を実施する際、法令を遵守し、公正かつ客観的にリスク判断を行い、作成したリスク評価報告書の真実性、有効性、完全性について責任を負わなければならない。他の機関にリスク評価を再委託してはならない。
第十一条 同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。	第十一条 同一の評価機関及びその関連機関は、同一のネットワークデータ処理者に対して連続して3回以上リスク評価を実施してはならない。
第十二条 评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通报网络数据处理者，并按照有关规定向省级以上网信部门、有关主管部门报告。	第十二条 評価機関はリスク評価過程において、ネットワークデータ処理活動に重大なデータセキュリティリスクが存在することを発見した場合、速やかにネットワークデータ処理者に通報するとともに、関連規定に基づき省級以上のネット情報部門及び関係主管部門に報告しなければならない。
评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在风险评估工作结束后及时删除相关信息。	評価機関及びその職員は、リスク評価過程で取得したデータ、営業秘密、機密ビジネス情報等について、法令に基づき秘密保持義務を負い、漏洩または不法に第三者に提供してはならず、リスク評価業務終了後は速やかに関連情報を削除しなければならない。
第十三条 重要数据处理者开展年度风险评估应当按照本办法附件模板编制评估报告，一般数据处理者可以参照本办法附件模板编制评估报告。有关主管部门对风险评估报告模板另有规定的，从其规定。	第十三条 重要データ処理者は年次リスク評価を実施する際、本弁法の付属書テンプレートに基づき評価報告書を作成しなければならない。一般データ処理者は本弁法の付属書テンプレートを参考に評価報告書を作成することができる。関係主管部門がリスク評価報告書のテンプレートについて別途規定がある場合は、その規定に従う。
风险评估报告至少保存3年。	リスク評価報告書は少なくとも3年間保存しなければならない。
第十四条 重要数据处理者应当在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告。主管部门不明确的，向省级网信部门或者国家网信部门报送。	第十四条 重要データ処理者は、年次リスク評価完了後10営業日以内に、関係主管部門の要求に基づき評価報告書を提出しなければならない。主管部門が明らかでない場合は、省級ネット情報部門または国家ネット情報部門に提出する。
有关主管部门应当公开评估报告报送渠道和联系方式，及时接收重要数据处理者报送的评估报告，自收到评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告并报送国家数据安全工作协调机制。	関係主管部門は、評価報告書の提出経路及び連絡先を公表し、重要データ処理者から提出された評価報告書を速やかに受理しなければならない。評価報告書を受領した日から10営業日以内に、同レベルのネット情報部門に報告書を通達する。国家ネット情報部門は関連報告書をまとめ、国家データ安全作業調整メカニズムに提出する。
省级以上网信部门和有关部门可对网络数据处理者的评估报告真实性、准确性进行抽查核验，网络数据处理者应当配合开展抽查核验。	省級以上のネット情報部門及び関係部門は、ネットワークデータ処理者の評価報告書の真実性・正確性について抜き打ち検査を実施できる。ネットワークデータ処理者は検査に協力しなければならない。
第十五条 省级以上网信部门和有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的，应当要求其委托通过认证的评估机构开展风险评估：	第十五条 省級以上のネット情報部門及び関係部門は、リスク評価報告書の検証・監督検査等の過程で、ネットワークデータ処理者に以下のいずれかの状況が認められた場合、認証を受けた評価機関にリスク評価を委託するよう要求しなければならない：
（一）网络数据处理活动存在较大安全风险的；	（一）ネットワークデータ処理活動に重大なセキュリティリスクが存在するとき
（二）发生网络数据安全事件，导致重要数据或者大规模个人信息泄露、被窃取的；	（二）ネットワークデータセキュリティインシデントが発生し、重要なデータまたは大規模な個人情報が漏洩・窃取された場合
（三）网络数据处理活动可能危害国家安全、公共利益的；	（三）ネットワークデータ処理活動が国家安全保障または公共の利益を害するおそれがある場合
（四）国家网信部门或者有关部门规定的其他情形。	（四）国家インターネット情報部門または関係部門が定めるその他の場合
对同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构开展风险评估。	同一のネットワークデータセキュリティインシデントまたはリスクについて、ネットワークデータ処理者に評価機関へのリスク評価委託を重複して要求してはならない。
第十六条 网络数据处理者按照有关部门要求委托评估机构开展风险评估的，应当履行下列义务：	第十六条 ネットワークデータ処理者が関係部門の要求に基づき評価機関にリスク評価を委託する場合、以下の義務を履行しなければならない：
（一）为评估机构开展风险评估工作提供必要支持，包括为风险评估人员提供访问网络数据设施、网络数据、系统及操作日志记录权限等；	（一）評価機関がリスク評価を実施するために必要な支援を提供すること。これにはリスク評価担当者に対するネットワークデータ施設、ネットワークデータ、システム及び操作ログ記録へのアクセス権限の提供等を含む。
（二）在限定时间内完成风险评估，承担评估费用，情况复杂的，报有关部门批准后可以适当延长；	（二）所定の期間内にリスク評価を完了し、評価費用を負担すること。状況が複雑な場合は、関係部門の承認を得て適宜延長することができる。
（三）在完成风险评估后将评估机构出具的评估报告报送有关部门，评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章；	（三）リスク評価完了後、評価機関が作成した評価報告書を関係部門に提出すること。評価報告書には評価機関の責任者とリスク評価責任者の署名及び機関の公印を押印すること。
（四）按照有关部门要求对风险评估中发现的问题进行整改，在整改完成后15个工作日内，向有关部门报送整改情况报告。	（四）関係部門の要求に基づき、リスク評価で発見された問題点を是正し、是正完了後15営業日以内に是正状況報告書を関係部門に提出すること。
网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的评估报告。	ネットワークデータ処理者は、いかなる方法でも評価機関に対し虚偽または不適切な評価報告書の作成を要求または示唆してはならない。
第十七条 有关部门在组织风险评估工作中发现存在可能危害国家安全、公共利益的网络数据处理活动，应当责令网络数据处理者进行整改；对整改不到位、拒不整改的网络数据处理者，可以采取要求其停止处理重要数据等措施。	第十七条 関係部門はリスク評価業務の実施において、国家安全や公共の利益を害するおそれのあるネットワークデータ処理活動を発見した場合、当該ネットワークデータ処理者に対し是正を命じなければならない。是正が不十分であるか、是正を拒否するネットワークデータ処理者に対しては、重要データの処理停止を要求するなどの措置を講じることができる。
第十八条 各地区、各部门应当加强风险信息共享和协同处置，及时处置风险评估工作中发现的安全风险和问题，并按照有关规定及时报告。	第十八条 各地域・各部門はリスク情報の共有と協調的対応を強化し、リスク評価業務で発見された安全リスクや問題を速やかに処理するとともに、関連規定に基づき適時に報告しなければならない。
省级网信部门统筹协调本行政区域内风险信息共享和协同处置工作，于每年3月底前向国家网信部门报送上一年度风险信息处置情况，国家网信部门汇总相关情况报送国家数据安全工作协调机制。	省級ネット情報部門は、管轄区域内のリスク情報共有及び連携対応業務を統括調整し、毎年3月末までに前年度のリスク情報対応状況を国家ネット情報部門に報告する。国家ネット情報部門は関連状況を集約し、国家データ安全業務調整メカニズムに報告する。
第十九条 任何组织、个人有权对风险评估中的违法违规活动向有关部门进行投诉、举报，收到投诉、举报的部门应当依法及时处理。	第十九条 いかなる組織・個人も、リスク評価における法令違反行為について関係部門に苦情申立て・通報する権利を有する。苦情・通報を受けた部門は、法に基づき速やかに処理しなければならない。
第二十条 省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚。	第二十条 省級以上のネット情報部門及び関係部門は、ネットワークデータ処理者が規定に基づきリスク評価を実施していないことを発見した場合、『中華人民共和国データ安全法』等の法律・法規に基づき処分・処罰を行う。
发现评估机构违反本办法开展风险评估的，省级以上网信部门和有关部门应当责令其进行整改；情节严重的，可以限制或者禁止其开展风险评估活动，追究相关人员责任，并予公布；构成犯罪的，依法追究刑事责任。	評価機関が本弁法に違反してリスク評価を実施していることを発見した場合、省級以上のネット情報部門及び関係部門は当該機関に対し是正を命じる。情状が深刻な場合、リスク評価活動の制限または禁止、関係者の責任追及及び公表を行うことができる。犯罪を構成する場合は、法に基づき刑事責任を追及する。
第二十一条 风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估、审计、认证。	第二十一条 リスク評価、サイバーセキュリティ等級保護評価、データセキュリティ管理認証、個人情報保護コンプライアンス監査、商用暗号応用安全性評価等の内容が重複する場合、関連結果は相互に採用することができ、重複した評価、監査、認証を避けることができる。
第二十二条 重要数据处理者提供、委托处理、共同处理重要数据前进行风险评估，可以参照本办法有关规定执行。	第二十二条 重要データ処理者が重要データを提供、委託処理、共同処理する前にリスク評価を行う場合、本弁法の関連規定を参照して実施することができる。
第二十三条 核心数据处理者的风险评估，按照国家有关规定执行。	第二十三条 中核データ処理者のリスク評価は、国家の関連規定に従って実施する。
第二十四条 开展涉及国家秘密、工作秘密的风险评估活动，按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行。	第二十四条 国家機密・業務秘密に関わるリスク評価活動は、「中華人民共和国国家機密保護法」等の法律・行政法規及び国家機密保護規定に従って実施する。
第二十五条 本办法自 年 月 日起生效。	第二十五条 本弁法は 年 月 日より施行する。