先日、中国の工信部が、「車のネットワーク（スマートネットワーク接続車） サイバーセキュリティの標準体型建設ガイド」や「スマートネット接続の自動車（コネクテッドカー）生産企業及び製品管理を強化することについての意見」の意見募集稿を公開したことはお伝えしましたが、今回工信部は「車のインターネットサイバーセキュリティとデータセキュリティの強化に関する通知（中国語原文：工业和信息化部关于加强车联网网络安全和数据安全工作的通知）」を発表しました。

これは、各省、自治区、直轄市の工信部主管部門と通信監理局、中国電信（チャイナテレコム）や中国移動（チャイナモバイル）、中国聯通（チャイナユニコム）といった通信キャリア、スマートカー生産企業、車のネットサービスプラットフォーマー企業、関連技術標準化組織が通知対象になっています。

通知内容の翻訳全文は後述しますが内容としては、スマートカー（コネクテッドカー）における、サイバーセキュリティとデータセキュリティを強化すべく、関連企業は体制を整え、それぞれの事象に対する等級付けを行い、データの国外持ち出しに関しては厳重に管理する必要がある、という内容になっています。

また、OTAによるアップデート時のセキュリティ確保、強化や脆弱性の検査、評価などへの対策も内容に盛り込まれており、先の内容含め標準化やマニュアル整理を行っていく旨も記載されています。

内容的には「スマートネット接続の自動車（コネクテッドカー）生産企業及び製品管理を強化することについての意見」と重複する内容も多いので、意見が通知に変わった、つまり強制力が加わったと解釈しても良いかもしれません。

中国はスマートカー（≒コネクテッドカー）への取り組みも活発ですし、それらが実際にインターネットを経由して「コネクテッド」していけば、当然そこに対するサイバー攻撃への脅威、というものを考慮し、取り組みを強化していく必要があります。

また、先日ご紹介した「中国データセキュリティ法」が9月1日に施行され、データ管理も厳格になっていきますし、スマートカー（≒コネクテッドカー）生産企業やそこに対するサービスを提供するプラットフォーマーは同通知や関連情報を注視していく必要がありますね。

以下、今回の通知の全文翻訳です。

工信部が車のインターネットサイバーセキュリティとデータセキュリティの強化に関する通知を発表

各省、自治区、直轄市及び新疆ウイグル自治区の生産建設兵団における主管部門、各省、自治区、直轄市の通信管理局、中国電信グループ、中国移動通信グループ、中国聯通グループ、スマートネット連合自動車生産企業、車のインターネットサービスのプラットフォーム運営企業、標準化技術組織へ：

車のネットワーク化は、次世代ネットワーク通信技術と自動車、電子、道路交通、輸送などの分野に深く融合した新興産業形態である。スマートネット車は、先進的な車載センサー、コントローラ、アクチュエータなどの装置を搭載し、現代の通信とネットワーク技術を融合させ、車と車、道、人、クラウド端末などのスマートな情報の交換、共有を実現し、複雑な環境感知、スマートアクション、共同制御などの機能を備え、「安全、高効率、快適、省エネルギー」を実現することができる。産業の急速な発展とともに、車のインターネット上のセキュリティリスクが日増しに際立ってきており、車のインターネット上のセキュリティ保障システムは早急に健全かつ完備されなければならない。「新エネルギー自動車産業発展計画（2021-2035年）」の実施を推進するため、車のインターネットサイバーセキュリティとデータの安全管理を強化し、関連事項を以下の通りに通知する。

一、サイバーセキュリティとデータセキュリティの基本要求

（一）安全主体の責任を徹底する。各関連企業はサイバーセキュリティとデータセキュリティ管理制度を確立し、責任者と管理機関を明確にし、サイバーセキュリティとデータセキュリティ保護責任を実行する。企業内部の監督管理を強化し、資源の保障に力を入れ、セキュリティ上の潜在リスクを速やかに発見し解決する必要がある。サイバーセキュリティとデータセキュリティの宣伝、教育と育成を強化する。

（二）セキュリティ保護を全面的に強化する。各関連企業は管理と技術措置を講じ、車のインターネットサイバーセキュリティとデータセキュリティに関する基準の要求に従い、自動車、ネットワーク、プラットフォーム、データなどの安全保護を強化し、監視、防犯などを行い、適宜サイバーセキュリティのリスクと脅威を処理し、データが有効な保護と合法的な利用状態にあることを確保し、車のサイバーセキュリティと安定的な運行を保障する。

二、スマートネット（コネクテッドカー）の安全保護強化。

（三）車両におけるサイバーセキュリティを保障する。インテリジェント・インターネット・ユニオンの自動車生産企業は全車におけるサイバーセキュリティ構造設計を強化しなければならない。車内システムの通信安全保障を強化し、セキュリティ認証、分域隔離、アクセス制御などの措置を強化し、偽装、再生、注入、サービス拒否などの攻撃を防ぐ。車載情報インタラクティブシステム、自動車ゲートウェイ、電子制御ユニットなどの肝心な設備と部品の安全防護と安全検査を強化する。診断インターフェース（OBD）、汎用シリアルバス（USB）ポート、充電ポートなどのアクセスと権限管理を強化する。

（四）セキュリティ・ホール管理責任を徹底する。インテリジェント・インターネット・ユニオンの自動車生産企業は「サイバー製品セキュリティ・ホール管理規定」の関連要求に基づき、自社の脆弱性発見、検証、分析、補修、報告などの業務手順を明確にする。自動車製品に問題があると、発見または知らされた場合は、速やかに救済措置を講じ、工信部サイバーセキュリティ脅威と脆弱性情報共有プラットフォームに、該当する脆弱性情報を報告しなければならない。ユーザーがソフトウェア、ファームウェアのアップグレードなどの措置を必要とする場合は、脆弱性や補修方法を直ちに影響を受ける可能性があるユーザーに知らせ、必要な技術サポートを提供しなければならない。

三、車のインターネットサイバーセキュリティ防護の強化。

（五）車のインターネットネットワーク施設とネットワークシステムの安全防護能力を強化する。各関連企業はサイバーセキュリティ等級保護要求を厳格に実行し、ネットワーク施設とネットワークシステムの資産管理を強化し、ネットワークセキュリティエリアを合理的に区分し、アクセス制御管理を強化し、ネットワーク境界の安全防御をしっかり行い、木馬ウイルスとサイバー攻撃、サイバー侵入など車のサイバーセキュリティ行為に危害を及ぼすものに対し、技術的な措置をとる。自己または検査機関に委託して、定期的にサイバーセキュリティ適合性の評価とリスク評価を行い、潜在リスクも適宜除去する。

（六）車のインターネット通信の安全を保障する。各関連企業は車のインターネット上の身分認証と安全信頼メカニズムを確立し、車載通信設備、道路側通信設備、サービスプラットフォームなどの安全な通信能力を強化し、身分認証、暗号化輸送など必要な技術措置をとって、通信情報の偽造、データ改竄、再生攻撃などの安全リスクを防止し、車と車、車と道、車とクラウド、車とデバイスなどのシーンの通信を安全なものにする。関連する企業、機構が工信部の「車のネットワークセキュリティ信頼管理プラットフォーム」を積極利用し、相互に車種を跨いで、施設を跨いで、企業間の相互理解を推進していくことを奨励する。

（七）車のインターネットセキュリティ監視警報を実施する。国家は車のインターネットサイバーセキュリティ監視プラットフォームの建設を強化し、サイバーセキュリティ脅威、事件の監視警報通報と安全保障サービスを展開する。各関連企業はサイバーセキュリティ監視警報機構とともに技術手段を確立し、スマートネット接続自動車、車のインターネットサービスプラットフォーム及びネットワークシステムに対してサイバーセキュリティ関連監視を行い、サイバーセキュリティのインシデントまたは異常行為を発見した場合、規定に従って関連のネットワークログを保存して、6ヶ月を超えずに通知を行う。

（八）車のネットワークセキュリティ応急処置をしっかりと行う。インテリジェントネット連合自動車生産企業、車のインターネットサービスプラットフォーム運営企業はサイバーセキュリティ緊急対応メカニズムを確立し、サイバーセキュリティ事件緊急対応策を制定し、定期的に緊急訓練を実施し、安全脅威、サイバー攻撃、サイバー侵入などのサイバーセキュリティリスクをタイムリーに処理する。ネットワークの安全を損なう事件が発生した場合、直ちに緊急対応策を開始し、相応の救済措置を講じ、「公共インターネットサイバーセキュリティ突発事件緊急対応策」などの規定に従って関連主管部門に報告する。

（九）車のネットワークとサイバーセキュリティ保護の等級付けをしっかりと行い、登録する。インテリジェント・インターネット接続自動車生産企業、車のインターネットサービスプラットフォーム運営企業は、車のネットワークセキュリティ保護に関する基準に従い、所属ネットワーク施設とシステムに対してサイバーセキュリティ保護の等級付け作業を行い、所在省（区、市）通信管理局に登録しなければならない。ネットワーク施設とシステムの新設については、計画設計段階でサイバーセキュリティ保護等級を確定しなければならない。各省（区、市）通信管理局は工業・情報化主管部門と等級付けの届出審査を行う。

四、車のインターネットサービスプラットフォームの安全防護強化。

（十）プラットフォームのネットワーク安全管理を強化する。車のインターネットサービスプラットフォーム運営企業は必要な安全技術措置を講じて、スマートネット接続自動車、道路側設備などのプラットフォームへのアクセスの安全、ホスト、データ記憶システムなどのプラットフォーム施設の安全、及び資源管理、サービスアクセスインターフェースなどのプラットフォームに十分なセキュリティを適用し、ネットワークの侵入、データの盗撮、遠隔制御などのセキュリティリスクを防止する。オンラインデータ処理と取引処理、情報サービス業務などの電気通信業務に関わる場合、法により電気通信業務の経営許可を取得しなければならない。重要情報インフラと認定された場合は、「重要情報インフラ安全保護条例」の関連規定を実行し、国家の関連規格に従って商用暗号を使用して保護し、自らまたは商用暗号検査機関に委託し、商用暗号応用安全性評価を実施する。

（十一）オンラインアップグレードサービス（OTA）の安全と脆弱性検査評価を強化する。インテリジェント・インターネット・ユニオンの自動車生産企業はオンラインアップグレードサービス・パッケージの安全検証メカニズムを確立し、安全で信頼できるソフトウェアを採用する。オンラインアップグレードソフトパッケージのネットワークセキュリティテストを実施し、製品のセキュリティホールをタイムリーに発見する。オンラインサービスのセキュリティチェック能力を強化し、身分認証、暗号化伝送などの技術措置を講じて、伝送環境と実行環境のネットワークの安全を保障する。オンラインアップグレードサービスの全過程におけるサイバーセキュリティ監視と緊急対応を強化し、定期的にサイバーセキュリティ状況を評価し、ソフトウェアの偽造、改ざん、毀損、漏えい、ウイルス感染などのサイバーセキュリティリスクを防止する。

（十二）アプリケーションの安全管理を強化する。スマートネット接続自動車生産企業、車のインターネットサービスプラットフォーム運営企業は、車のインターネットアプリケーションの開発、オンライン、使用、アップグレードなどの安全管理制度を確立し、アプリケーションの識別、通信の安全、データの保護などのセキュリティ能力を向上させる。車のインターネットアプリケーションのセキュリティ検査を強化し、セキュリティリスクをタイムリーに処理し、悪意のあるアプリケーションの攻撃と普及を防ぐ。
五、データのセキュリティ保護強化

（十三）データ分類の階層管理を強化する。「誰が主管し、誰がその責任を負って、誰が運営し、誰がその責任を負うか」という原則に基づき、スマート・ネット・ユナイテッド自動車生産企業、車のインターネット・サービスプラットフォーム運営企業はデータ管理台帳を作成し、データ分類・等級管理を実施し、個人情報と重要データ保護を強化する。データセキュリティリスク評価を定期的に実施し、潜在的なリスクの調査・改善を強化したうえで、所在省（区・市）通信管理局、工業・情報化主管部門に報告する。所在省（区、市）通信管理局、工信部部門は、企業がデータセキュリティ保護義務を履行することに対して監督検査を行う。

（十四）データセキュリティ技術保障能力を向上させる。インテリジェント・インターネット接続自動車生産企業、車のインターネットサービスプラットフォーム運営企業は合法的、正当な方法でデータを収集し、データ全ライフサイクルに対して有効な技術保護措置を講じ、データの漏洩、毀損、紛失、改竄、誤用、濫用などのリスクを防止する。各関連企業はデータセキュリティ監視警報と応急処置能力の確立を行い、異常流動分析、国境を越えた転送監視、セキュリティ事件の追跡などのレベルを向上させなければならない。データセキュリティ事件を適時に処理し、所在省（区、市）通信管理局、工信部主管部門に比較的大きいデータセキュリティ事件は報告を行い、関連監督検査を実施し、必要な技術サポートを提供する。

（十五）データ開発と利用を規範化する。インテリジェント・インターネット接続自動車生産企業、車のインターネットサービスプラットフォーム運営企業はデータ資源を合理的に開発し、自動化政策決定技術を使ってデータを処理する時、ユーザーのプライバシー権利と知る権利を侵害することを防止する。データ共有と開発利用のセキュリティ管理と責任要求を明確にし、データの配合者のデータセキュリティ保護能力を審査評価し、データ共有の使用状況を監督管理する。

（十六）データ出国セキュリティ管理を強化する。インテリジェント・ネット連合自動車生産企業、車のインターネットサービスプラットフォームの運営企業は海外に中華人民共和国国内で収集及び発生した重要データを提供しなければならない場合、法により規定に従ってデータ出国セキュリティ評価を行い、所在省（区、市）通信管理局、工信部主管部門に報告しなければならない。各省（区、市）通信管理局は工信部主管部門とデータの出国届出、セキュリティ評価などの業務を行う。

六、セキュリティ基準体系の健全化

（十七）車のインターネットセキュリティ基準の建設を加速する。車のインターネットサイバーセキュリティとデータセキュリティ基準体系の構築マニュアルの作成を加速する。全国通信標準化技術委員会、全国自動車標準化技術委員会などは、自動車のインターネット保護等級、サービスプラットフォームの防護等級、自動車の脆弱性分類等級、通信インタラクティブ認証、データ分類等級、インシデント応急応答などの標準規範及び関連検査評価、認証基準の制定を加速しなければならない。各関連企業、社会団体が国家基準または業界標準に関する技術要求を上回る企業基準、団体基準を制定することを奨励する。

以上ここに通知する。

今回の工信部通知の中国語原文はこちらで確認できます。

※中国を中心としたSDGsや再生可能エネルギーについて綴っている姉妹ブログの方もぜひ！