先日紹介したのは、中国工信部が「コネクテッドカーに関するサイバーセキュリティの標準体型建設ガイド」をドラフトし広く意見を求める、というものでしたが、今回は工信部が各省、自治区、直轄市および新疆ウイグル自治区の主管部門や通信監理局、そして自動車生産企業に対し、意見を表明する形で「スマート・ネット接続の自動車（コネクテッドカー）生産企業及び製品管理を強化することについての意見（中国語原文：工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见）」が発表されています。

同意見書は7月30日の日付で記載されていますが、公開されたのは8月12日です。

工信部が上記関連部署、企業へ提出した意見は4分類11個あります。

まずは、一般的な事柄が記載されている、「一、总体要求（日本語訳：全体要求） 」を除いた、同意見書の日本語訳を紹介したいと思います（一部意訳してます）。

二、 データとサイバーセキュリティ管理の強化
（一）データセキュリティ管理能力の強化。企業は自動車のデータセキュリティ管理制度を確立し、健全化し、法によったデータセキュリティ保護義務を履行し、責任部門と責任者を明確にしなければならない。データ資産管理台帳を用意し、データ分類において等級管理を実施し、個人情報と重要データの保護を強化する（必要がある）。データセキュリティ保護技術措置を確立し、データが引き続き有効な保護と合法的な利用の状態にあることを確保し、法によったデータセキュリティリスク評価、データセキュリティ事件発生時の報告などの要求を規定に従って実行する（必要がある）。中華人民共和国国内の運営において個人情報と重要データを収集し、活用する場合は、関連する法律や法規の規定に従い、（中国）国内に保存しなければならない。国外にデータを提供する必要がある場合、データ出国安全評価を通過しなければならない。

（二）サイバーセキュリティ保障能力の強化。企業は自動車におけるサイバーセキュリティの管理制度を確立し、法によったサイバーセキュリティ等級保護制度とコネクテッドカーのネットカード実名登録管理要求を実行し、サイバーセキュリティ責任部門と責任者を明確にしなければならない。自動車の電子電気システム、コンポーネントと機能をサイバー攻撃の脅威から守る技術を備え、自動車向けサイバーセキュリティのリスク監視、サイバーセキュリティの欠陥と脆弱性などの発見と処理の技術条件を備え、車両とその機能が保護された状態にあることを確保し、車両の安全運行を保証する。法に基づき、サイバーセキュリティ事件報告と処分、対処を規定に従って実行する。

三、規範ソフトウェア（基盤ソフトウェア）のオンラインアップグレード。
（三）企業の管理能力強化。企業がオンラインアップグレード（またOTAアップグレードともいう）機能を持つ自動車製品を生産する場合、自動車製品及びアップグレード活動に適応した管理能力を確立し、オンラインアップグレードの安全性への影響評価、テスト検証、実施過程での保障、情報記録などを準備し、車両がオンラインアップグレードを行う時に安全状態にあることを確保し、車両ユーザーにオンラインアップグレードの目的、内容、所要時間、注意事項、アップグレードの結果などの情報を伝える必要がある。

（四）製品の生産一貫性の保証。企業はオンラインアップグレード活動を実施する前に、該当する自動車製品が国家の法律法規、技術標準及び技術規範等の関連要求に適合する必要があり、工信部への登録内容から、セキュリティ、省エネ、環境保護、盗難防止などの技術パラメータが変更される場合は、工信部に事前に申告し、自動車製品の生産一貫性を保証しなければならない。承認されない状態で、オンラインなどのソフトウェアで自動車の自動運転機能を追加または更新してはいけない。

四、製品管理の強化
（五）告知義務の厳格履行。企業は運転補助と自動運転機能を併せ持つ自動車製品を生産する場合、車両の機能及び性能制限、運転者の職責、人間と機械のインタラクティブデバイスの情報、機能のオン・オフの方法と条件などの情報を明確に告知しなければならない。

（六）組み合わせ運転補助機能製品の安全管理強化。企業は運転補助機能を組み合わせた自動車製品を生産する場合、ハンドオフ検査などのなどの技術措置で、運転者が常に相応の動的運転任務を実行していることを保障する。組み合わせ運転補助機能とは、自動化システムで運転されている際、その運行条件の下で、車の横方向と縦方向の動き制御を持続的に実行し、目標とイベントの検出と応答能力を備えていることをいう。

（七）自動運転機能製品の安全管理強化。企業が自動運転機能を持つ自動車製品を生産する場合、自動車製品が少なくとも以下の要求を満たすことを確保しなければならない。

1. 自動運転システムの失効を自動的に認識し、運行条件を持続的に満たしているかどうか、そしてリスクを感じた際、減速措置をとって、リスク状態を最小化させられる。

2. 自動運転システムの運転状態を表示するために、人間と機械の相互作用機能を備えていること。特定の条件の下で運転手が動的運転を行う必要がある場合は、運転者が動的運転を行う能力を識別する機能を備えていなければならない。車両は法律に基づいて合理的に電子信号、音などを使用して他の道路利用者とやり取りすることができるべきである。

3. 事件データ記録システムと自動運転データ記録システムを備え、関連機能、性能と安全性の要求を満たし、事故からの復興、責任判定及び原因分析などに用いるべきである。自動運転データ記録システムに記録されているデータは、車両及びシステム基本情報、車両状態及び動態情報、自動運転システム運行情報、走行環境情報、運転者操作及び状態情報、故障情報などを含むべきである。

4. 機能の安全、予期機能の安全、ネットワークの安全などの過程保障要求を満たし、シミュレーション、特定な場所、実際の道路、サイバーセキュリティ、ソフトウェアのアップグレード、データの記録などのテスト要求を満たし、車両が設計運行条件内で予見可能かつ予防可能なセキュリティ事故が発生することを避けるべきである。

（八）信頼できる時間と位置情報サービスの確保。企業は自動車製品が安全、信頼できる衛星測位及び受信機能を持つことを確保し、位置、速度、時間などの情報を効果的に提供し、北斗衛星ナビゲーションシステムの信号を受け入れることを奨励する。

五、保障措置
（九）自主検査機構の確立。企業は自主調査を強化し、生産、販売する自動車製品にデータの安全、ネットワークの安全、オンラインのアップグレードの安全、運転補助と自動運転の安全など深刻な問題があることを発見した場合、法により直ちに関連製品の生産、販売を停止し、措置を講じて改善し、工信部及び所在地の工新部の電信主管部門に報告する。

（十）監督実施の強化。工信部は、関係機関にインテリジェント・インターネット接続自動車（コネクテッドカー）生産企業及び製品参入許可技術審査などの仕事を指導する。各地の工信部電信主管部門は関連部門と協力し、「道路機動車両生産企業及び製品参入管理弁法」の関連要求に基づき、本意見の実施状況に対する監督検査を行う。

（十一）基礎能力を固める。工信部は各地の関連部門、関連企業とともに、スマート・ネット連合の自動車標準体系の構築をさらに充実させ、自動車データの安全、ネットワークの安全、オンラインのアップグレード、運転補助、自動運転などの標準規範制度の改正を加速させる。サードパーティのサービス団体と企業が関連テストの検証と検査・測定能力を強化することを奨励し、引き続きスマート・ネット・ユナイテッドの自動車関連技術とネットワークの安全、データの安全レベルを向上させる。

さて、意味が分かりづらかった部分もあるかと思いますが、今回の工信部からの通知内容は以上です。

サイバーセキュリティに関連しそうな部分を振り返ると、（一）データ保護の強化においては、「個人情報と重要データを保護する（必要がある）」、「データ保護技術措置を実施」とあることから、データ漏洩対策やデータの暗号化などの必要性が出てきそうですね。

また、「データ分類において等級管理を実施」ともあるので、Data Classificationのソリューションなども必要になってくるかもしれません。

そして、9月1日から「データセキュリティ法」が施行されるので、中国国内で集めたデータを海外に持ち出す際は、所定の手続きを踏む必要がある、ということも重要です。

今までもそうしているのかもしれませんが、外資系メーカーなどは中国で得た情報は基本中国国内で活用する、ということになっていくのでしょうね。

（二）サイバーセキュリティ保障能力の強化に関しては、責任部門と責任者を明確にし、インシデントが発生した際には現状報告と対処方法の提示が必要になるので、その体制作りも必要になります。

三の（三）、（四）のオンラインアップグレード、すなわちOTAにおいては、テストを十分に行い、それを記録として保管し、車両ユーザーへの目的や注意事項などを通知する必要が出てくるのと、安全面・省エネ・環境・盗難防止などに関連する変更の場合は、工信部に事前申告し許可を取っておく必要が出てきます。あくまでも今回は「意見」なので、それを怠った際の罰則や処置などは書かれていませんが、十分に注意する必要がありそうです。

また、（五）から（七）にかけては自動運転に関する内容が記述されていますが、文章から見るに主に自動運転のレベル3を前提においているのかな、という気もしました。

ここはあまり詳しくないので、変なコメントになるかもしれませんが、（七）の2．に記載されている「運転者が動的運転を行う能力を識別する機能を備えていなければならない」というのは、どう判断するのでしょう？自動運転を開始する前に免許証データなどを登録しておくのでしょうか。。。？

（八）はGPS機能について書かれていますが、しれっと中国製のGPS「北斗衛星測位システム」を利用するよう推奨しています。これまた「意見」なので、あくまでも「推奨」ですが、軍事目的などで「強制」に変わる日が来るのかもしれません。

今回の「意見」はこちらで全文を閲覧できます。

さて、2回続けて中国におけるコネクテッドカー関連の情報を、工信部の公開情報をもとに、お伝えしてきましたが、おいおい中国におけるコネクテッドカーのサイバーセキュリティにおけるプレーヤーや市場規模の紹介などもしていきたいと思っています。

※中国を中心としたSDGsや再生可能エネルギーについて綴っている姉妹ブログの方もぜひ！