中国サイバーセキュリティ法改正に伴う遵守事項について

中国において「中華人民共和国サイバーセキュリティ法」が改正され、2026年1月1日より施行されました。今回の改正では罰則が大幅に強化され、中国国外からの行為に対しても法的責任を追及する「域外適用」の範囲が拡大されています。

【法改正の主要なポイント】

今回の改正（2026年1月1日施行）における主な変更点は以下の通りです。

1. 「域外適用」の拡大（第77条）
   • 改定前は中国の重要インフラへの攻撃のみが対象でしたが、改定後は「中国のサイバーネットワーク安全に危害を加える活動」全般に拡大されました。これにより、外国籍船であっても船内からの通信が脅威と見なされた場合、資産凍結などの制裁を受けるリスクが生じています。
2. ネットワーク製品およびサービスの認証義務化（第25条・第63条）
   • ルーターやサーバー、スイッチングハブやファイアウォール等の重要設備、および衛星通信サービスと関連機器において、中国政府の認証・検査が厳格化されました。未認証製品の使用や提供には、多額の罰金や販売停止などの新たな罰則が新設されています。
3. 個人情報保護の連携強化（第42条・第71条）
   • 情報の取り扱いに関し、本法だけでなく「個人情報保護法」や「民法典」への準拠が明記されました。データの国外持ち出し等に対する処罰も、関連法と連動してより厳格に執行される形に整理されています。

   【注意】

   船舶管理会社および船長は、全乗組員が以下の各項目について理解し、当局の検査時に説明できるよう周知を徹底願います。

   1. 中国の安全を脅かす行為および禁止情報の拡散禁止
      • 中国内外、領海内外を問わず、中国のサイバー安全を脅かす行為（サイバー攻撃、ネットワーク侵入、機密窃取、疑わしい挙動等）を厳格に避けてください。
      • 中国の法律・行政法規で禁止されている情報の拡散も同様に禁止されています。
   2. 未認可である衛星通信サービス機器（Starlink, OneWeb等）の利用禁止および物理的な遮断
      • 中国の認可を受けていない衛星通信サービスを利用することは違法です。中国領海（12海里）進入前に電源コードを抜く、または機器をカバーで覆う等の処置を行い、利用していないことが一目で分かるようにしてください。
      • 遮断の記録をデッキログブックに記載し、検査時には速やかに提示可能な状態を維持してください。
   3. 中国製ネットワーク製品・サービスの利用確認
      • 中国製のネットワーク機器や衛星通信サービスを利用している場合は、それらが中国の法定基準を満たしているか、サービス提供者へ確認することを推奨します。
   4. 搭載システムの確認と証明
      • AIが組み込まれているシステムは、中国の安全認証に合格しているか、およびその利用方法について製造者に確認を行い、結果を提示できるようにしてください。
   5. サイバーインシデント発生時の報告義務
      • インシデント発生時は、船舶管理会社の指示に従い、中国海事局（MSA）や国家インターネット情報弁公室（CAC）等の所定機関へ報告を行ってください。
      • 当局の統一報告窓口（電話：12387、ウェブサイト：12387.cert.org.cn）も利用可能です。

   【罰則規定】

   1. 組織（法人・管理会社・オーナー）への厳罰
      • 最高1,000万人民元の罰金：重大なインシデントやデータ漏洩等を招いた場合、最高で1,000万人民元（約2億円強）、または前年度売上高の5%以下の罰金が科される可能性があります。
      • 機材の没収と加算罰金：未認可の無線局（Starlink等）を領海内で使用した場合、機材の強制没収に加え、最大50万人民元以上（約1,000万円以上）の罰金が科せられる事例が報告されています。
      • 営業許可の取り消し：情状が重い場合、罰金に加えて関連業務の停止、営業停止・改善命令、または営業許可証の取り消しという、中国での事業継続が不可能になる処分が下される可能性があります。
   2. 個人（船長・船員・管理者等）への直接罰と資格制限
      • 個人への高額な罰金：直接の責任を負う主管者およびその他の責任者に対し、1万人民元以上、10万人民元以下の罰金が科されます。ただし、是正を拒否した場合や、情状が特に重大で深刻な被害を招いた場合には、最大で100万人民元（約2,000万円）に達するリスクがあります。
      • 公安機関による拘留：義務違反の内容により、公安機関によって5日以上15日以下の拘留に処される規定があります。
      • 免状停止および終身にわたる業務禁止：責任のある船員に対し、1～3ヶ月の海技免状停止、あるいは情状により終身（一生涯）にわたるサイバーセキュリティ管理職や通信事業への従事禁止が科されるリスクがあります。
   3. 国外の機関・個人に対する特別制裁（域外適用）
      • 中国国外（公海上等）の活動であっても、中国のネットワーク安全を脅かすと判断された場合、資産凍結、差し押さえ、入国制限などの制裁措置を受ける可能性があります（第77条）。

   本件に関するお問い合わせがございましたら、弊社までお気軽にご相談ください。

   PDFのダウンロードはこちら

   ---

   Dear Valued Customers & Business Partners,

   Notice Regarding Compliance with the Amended Cybersecurity Law of the People's Republic of China

   The "Cybersecurity Law of the People's Republic of China" has been amended and officially came into effect on January 1, 2026. This amendment significantly strengthens penalties and expands the scope of "extraterritorial application," allowing for legal liability to be pursued even for actions taken outside of China.

   【Key Points of the Amendment】

   The primary changes effective as of January 1, 2026, include:

4. Expansion of "Extraterritorial Application" (Article 77)
   • Previously limited to attacks on China's critical infrastructure, the scope now covers all activities that "endanger the security of China's cyber networks". Consequently, even on foreign-flagged vessels, shipboard communications deemed a threat may lead to sanctions, such as the freezing of assets.
5. Mandatory Certification for Network Products and Services (Articles 25 & 63)
   • Regulations have been tightened for critical equipment (routers, servers, switching hubs, firewalls, etc.), satellite communication services, and related hardware. New penalties, including heavy fines and sales bans, have been established for using or providing uncertified products.
6. Strengthened Coordination on Personal Information Protection (Articles 42 & 71)
   • Information handling must now comply not only with this law but also with the "Personal Information Protection Law" and the "Civil Code". Penalties for the unauthorized transfer of data outside of China are now more strictly enforced in coordination with these related laws.

   【Compliance Requirements】

   Ship management companies and Masters must ensure all crew members understand the following items and are prepared to explain them during inspections.

   1. Prohibition of Actions Threatening China's Security and Spreading Forbidden Information
      • Strictly avoid any actions that threaten China's cyber security (e.g., cyberattacks, network intrusions, theft of secrets, or suspicious behavior), regardless of whether the vessel is inside or outside Chinese territory or territorial waters.
      • The dissemination of information prohibited by Chinese laws and administrative regulations is strictly forbidden.
   2. Prohibition and Physical Disconnection of Unauthorized Satellite Services (e.g., Starlink, OneWeb)
      • Using unauthorized satellite communication services is illegal in China. Before entering Chinese territorial waters (12 nautical miles), ensure these devices are clearly out of use by unplugging power cords or covering the equipment.
      • Record the disconnection in the Deck Logbook and ensure these records can be presented promptly during inspections.
   3. Verification of Chinese Network Products and Services
      • If using Chinese-made network equipment or satellite services, it is recommended to confirm with the provider that they meet Chinese statutory standards.
   4. Verification and Certification of Onboard Systems
      • For systems incorporating AI, confirm with the manufacturer whether they have passed Chinese safety certifications and obtain documentation regarding their usage.
   5. Reporting Obligations for Cyber Incidents
      • In the event of an incident, follow the instructions of the ship management company and report to the designated authorities, such as the China Maritime Safety Administration (MSA) or the Cybers Administration of China (CAC).
      • Unified Reporting Hotline: 12387 | Website: 12387.cert.org.cn.

   【Penalties and Sanctions】

   1. For Organizations (Legal Entities, Management Companies, Owners)
      • Fines up to 10 million CNY: Major incidents or data breaches can result in fines up to 10 million CNY (approx. 200 million JPY) or up to 5% of the previous year's annual turnover.
      • Confiscation of Equipment and Additional Fines: Use of unauthorized radio stations (e.g., Starlink) in territorial waters can lead to the mandatory confiscation of equipment and fines exceeding 500,000 CNY (approx. 10 million JPY).
      • Revocation of Business Licenses: Severe violations may result in the suspension of operations or the permanent revocation of business licenses, making it impossible to continue business in China.
   2. For Individuals (Masters, Crews, Managers, etc.)
      • High Individual Fines: Responsible personnel may face fines between 10,000 and 100,000 CNY. If the individual refuses to take corrective action or if the damage is particularly severe, fines can reach 1 million CNY (approx. 20 million JPY).
      • Detention by public security authorities: Violations may lead to detention by public security authorities for a period of 5 to 15 days.
      • Suspension of Licenses and Lifetime Bans: Responsible crew members may face a 1–3 month suspension of their maritime certificates. In severe cases, they may be subject to a lifetime ban from working in cybersecurity management or the telecommunications industry.
   3. Special Sanctions for Foreign Entities/Individuals (Extraterritorial)
      • Even for activities occurring outside of China (e.g., on the high seas), if the activity is judged to threaten China's network security, sanctions such as asset freezing, seizure, or entry restrictions may be applied (Article 77).

   Should you have any questions regarding this matter, please feel free to contact us.

   Download PDF