2020年2月13に、中国人民銀行は「個人金融ドラクエ 11 カジノ保護のための技術仕様」を発行しました (JR/T 0171—2020、以下と呼びます“《仕様》”)、「仕様書」は同日発効しました。この「基準」は中国人民銀行によって提案され、国家金融標準化技術委員会によって管理され、金融業界の多くの関連組織や部門が起草作業に参加しました。

「仕様書」は本質的に推奨規格ですが、個人金融ドラクエ 11 カジノ保護アーキテクチャを構築する上で金融機関にとってその重要性は自明であり、関連部門が将来法律を制定および施行する際の重要な参考資料ともなります。 。したがって、金融業界機関およびその他の関連機関は、本コードの基準に従って適時にコンプライアンス準備を行うことが推奨されます。

1. ドラクエ 11 カジノ監督規制

個人金融ドラクエ 11 カジノ保護の分野において、我が国はまだ特別な法律や行政規制を制定していません。一般的に、次の表に示すように、個人金融ドラクエ 11 カジノの保護に関連する特別かつ対象を絞った規制は、主に中国銀行と両セッションによって策定されたさまざまな規範文書に記載されています。

さらに、関連所轄当局は、国家標準化管理委員会、国家金融標準化委員会、その他の部門と協力して、国家標準、業界標準、およびドラクエ 11 カジノ保護に関連するその他の技術指導文書の策定を主導してきました。また、参考として、そのような文書には、「金融業界におけるドラクエ 11 カジノシステムのドラクエ 11 カジノセキュリティ レベル保護に関する実装ガイドライン」(JR/T 0071-2012) が含まれます。 「ドラクエ 11 カジノセキュリティ技術 公共・商用サービスドラクエ 11 カジノシステム」 「個人ドラクエ 11 カジノ保護ガイドライン」（GB/Z 28828-2012）、「ドラクエ 11 カジノセキュリティ技術 - ドラクエ 11 カジノ技術製品サプライヤーの行動規範」（GB/T 32921-2016）など。

今回発表された「仕様書」は、策定過程において現行の規制やガイダンス文書の一部を参照・引用すると同時に、金融業界の特性や新技術・新モデルを組み合わせたものとなっています。近年、金融分野で発展しており、特に個人の金融ドラクエ 11 カジノの保護を対象とした我が国初の業界標準となっています。

2.「仕様書」の主な内容

(1) 適用範囲

「仕様」は金融商品およびサービスを提供する金融機関に明確に適用され、セキュリティ評価機関がセキュリティ検査および評価を実施するための参考ドラクエ 11 カジノを提供します。

「仕様書」第 3.1 条によると、金融業界機関には 2 つのタイプが含まれます。1 つは国家財政管理部門によって監督および管理される認可を受けた金融機関を指し、もう 1 つは個人金融の処理に関与する関連機関を指します。ドラクエ 11 カジノ。 。 「仕様書」第 3.2 条によれば、個人金融ドラクエ 11 カジノとは、金融商品やサービスの提供、その他のチャネルを通じて金融機関が取得、処理、保管する個人ドラクエ 11 カジノを指します。

上記の内容からわかるように、「仕様書」の適用範囲には主に 2 つのカテゴリが含まれます:

• 銀行、都市信用組合、地方信用組合、証券会社、保険会社、金融資産管理会社、金融リース会社など、従来の意味での認可を受けた金融機関。

• 金融商品やサービスの提供、またはその他のチャネルを通じて個人ドラクエ 11 カジノを取得、処理、保存するその他の機関（第三者決済機関、アウトソーシング サービス機関、または認可された金融機関にドラクエ 11 カジノ技術サービスを提供する外部協力機関など）等

(2)個人金融ドラクエ 11 カジノの機密管理

「仕様」には、口座ドラクエ 11 カジノ、識別ドラクエ 11 カジノ、金融取引ドラクエ 11 カジノ、個人識別ドラクエ 11 カジノ、不動産ドラクエ 11 カジノ、ローンドラクエ 11 カジノなどの個人金融ドラクエ 11 カジノの内容も列挙されており、特定の個人金融ドラクエ 11 カジノの特定の状況を反映するために「その他」を使用します。サブジェクトの「ドラクエ 11 カジノ」をバックアップとして使用します。

ドラクエ 11 カジノの不正な閲覧または不正な変更によって引き起こされる影響と損害に基づいて、「仕様」は個人金融ドラクエ 11 カジノを機密性の高い順に C3、C2、C1 の 3 つのカテゴリに分類し、異なる保護要件を提示しています。次の表に大まかにまとめています。

「仕様」では、2 つ以上の機密性の低いカテゴリのドラクエ 11 カジノの組み合わせ、関連付け、および分析によって機密性の高いドラクエ 11 カジノが生成される可能性があることも特に強調しています。同じドラクエ 11 カジノが異なるサービス シナリオでは異なるカテゴリに存在する場合があります。ドラクエ 11 カジノのカテゴリは、サービス シナリオとその中でのドラクエ 11 カジノの役割に基づいて識別され、対象を絞った保護手段が実装される必要があります。

3. ライフサイクルのあらゆる側面における個人金融ドラクエ 11 カジノの保護要件

「仕様」の第 4.3 条によると、個人金融ドラクエ 11 カジノのライフサイクルとは、個人金融ドラクエ 11 カジノの収集、送信、保管、使用、削除、破棄のプロセス全体を指します。 「仕様」で要求される基本的なセキュリティ原則は、金融業界機関が GB/T 35273-2017 (つまり、「ドラクエ 11 カジノセキュリティ技術個人ドラクエ 11 カジノセキュリティ仕様」。GB/T 35273-2020 に置き換えられました) の要件に従う必要があるということです。 )、「一貫した権利と責任、明確な目的、選択と同意、最小限の十分性、公開性と透明性、セキュリティの確保、および主体の参加の原則に基づいて、ライフサイクル全体をカバーするセキュリティ保護戦略を設計および実装します」個人の財務ドラクエ 11 カジノのこと。

「仕様」は、ライフサイクルのあらゆる側面におけるドラクエ 11 カジノ規範的要件を、セキュリティ技術要件とセキュリティ管理要件の 2 つの側面から提示しています。以下に、いくつかの主要なリンクに含まれる要件を簡単に説明します。

1.個人財務ドラクエ 11 カジノの委託収集および委託処理

実際には、金融機関が個人金融ドラクエ 11 カジノの収集と処理を第三者に委託することは比較的一般的なビジネス取り決めとなっており、たとえば、収集サービスを第三者に委託することは、近年さまざまな違反リスクが発生している分野でもあります。 。 「仕様書」では、金融業界の資格を持たない機関には、ID番号や携帯電話番号などの特定の個人を識別できるドラクエ 11 カジノなどのC3およびC2カテゴリーのドラクエ 11 カジノの収集を委託または権限を与えないことが明確にされています。

まず、「仕様書」では、金融業界機関は、金融業界関連の資格を持たない機関にC3およびC2カテゴリードラクエ 11 カジノの収集を委託または認可してはならないと規定しています。この規制は、現在の一部のアウトソーシング ビジネス モデルに影響を与えるでしょう。

第二に、収集した個人金融ドラクエ 11 カジノの処理を第三者（アウトソーシングサービス機関や外部協力機関を含む）に委託する金融機関の行為に関して、「仕様書」では主に以下を含む特定の技術要件も提示しています。

• 32405_32457

• C3 および C2 カテゴリドラクエ 11 カジノ内のユーザー識別補助ドラクエ 11 カジノの処理を第三者に委託して処理を依頼すべきではありません。

• 暗号化技術だけを使用するのではなく、委託されたドラクエ 11 カジノに対して匿名化と非感作を使用してください。

• 委託者が十分なデータ セキュリティ能力を備え、適切なセキュリティ保護手段を提供していることを確認するために、委託行為に対してセキュリティ影響評価を実施する必要があります。

• 契約上の義務の設定や安全性の検査と評価を含め、第三者機関やその他の委託先を監督する必要があります。

• 外部に埋め込まれた、または接続された自動化ツールの技術的な検出と監査を実行する必要があります。

上記の関連要件に従って委託処理作業を実行することに加えて、「仕様書」では、第三者機関などの委託者に対して追加の要件も求めています。これには一般に次のものが含まれます。

• 個人金融ドラクエ 11 カジノは金融機関の要件に従って厳密に処理される必要があり、特別な理由により個人金融ドラクエ 11 カジノを必要に応じて処理できない場合は、金融機関に適時に通知し、ドラクエ 11 カジノセキュリティ評価に協力する必要があります。是正措置を講じ、必要に応じてドラクエ 11 カジノ処理を終了します。

• 書面による許可がない限り、受託者は個人金融ドラクエ 11 カジノを処理のために他の機関に再委託してはなりません。

• 個人金融ドラクエ 11 カジノ主体からの要求への対応を支援する必要があります。

• 十分なレベルのドラクエ 11 カジノセキュリティ保護を提供できない場合、または処理中にセキュリティ インシデントが発生した場合は、金融機関に適時に通知し、調査に協力し、是正措置を講じ、必要に応じてドラクエ 11 カジノ処理を終了する必要があります。

• 委託関係が終了した場合（またはアウトソーシングサービス終了後）、ドラクエ 11 カジノは金融業界機関の要求に従って破棄され、交渉期間内に秘密保持責任を負う必要があります。

• 個人財務ドラクエ 11 カジノの委託処理は正確に記録され、保存されるべきです。

セキュリティ戦略の観点から、「仕様書」は金融業界機関に対し、アウトソーシングサービス機関や外部協力機関に対する管理システムを確立し、具体的な要件を提示することを求めています。例えば、C2ドラクエ 11 カジノやC3ドラクエ 11 カジノを保持しないことを協定や契約によって制約すること、個人金融ドラクエ 11 カジノを保管するデータベースを外部の協力機関が運用・保守してはならないこと、外部委託サービスと委託業務の間に外部ドラクエ 11 カジノセキュリティを定期的に実施することなどが挙げられます。機関や外部協力機関による評価、現場検査など。

2. 個人金融ドラクエ 11 カジノ保護システムを確立する

「仕様書」では、個人金融ドラクエ 11 カジノ保護システム構築のための比較的詳細な要件を4つの側面から提示している。

セキュリティシステムシステムの確立とリリースに関して、「仕様書」では、関連システムに少なくとも個人金融ドラクエ 11 カジノ保護管理規定、日常管理および運用手順、アウトソーシングサービス機関および外部協力機関の管理、内部および外部の検査および監督メカニズム、緊急対応手順および計画。

「基準」では、組織構造と役職設定の観点から、個人金融ドラクエ 11 カジノ保護責任者および個人金融ドラクエ 11 カジノ保護責任組織の設置を義務付けており、その職務責任を明確にしています。組織の内部事情および組織と外部パートナーとの関係を監督する 個人金融ドラクエ 11 カジノセキュリティを管理し、個人金融ドラクエ 11 カジノセキュリティ影響評価を組織し、個人金融ドラクエ 11 カジノ保護のための対策と提案を提案する。

人事管理の観点から、「仕様書」の要件には主に以下が含まれます。従業員を雇用する前に必要な身元調査を実施すること、個人財務ドラクエ 11 カジノにアクセスできるすべての従業員と関連する機密保持契約を締結すること、社内外のトレーニングと教育を定期的に実施すること。活動、関連する記録を保管する。担当者がそのポストから異動する場合、関連する担当者の個人財務ドラクエ 11 カジノへのアクセス、使用、およびその他の許可の設定を調整し、直ちに完了する必要があります。従業員が労働契約を終了する場合、個人財務ドラクエ 11 カジノへのアクセス権は直ちに終了され、個人財務ドラクエ 11 カジノへのアクセス権は取り消されるべきであり、関連ドラクエ 11 カジノの機密保持義務を引き続き履行することが明示的に要求されるべきである。システム テスターと運用保守担当者は、定期的に専門的なトレーニングと評価を実施する必要があります。

アクセス制御の観点から、「仕様書」では個人金融ドラクエ 11 カジノのアクセス制御管理の強化も求めており、より具体的な要件を提示しています。

3. 財務データのエクスポート

「金融ドラクエ 11 カジノ技術仕様書」が公布される前は、個人金融データの輸出に関する規制は主に「サイバーセキュリティ法」、「個人金融ドラクエ 11 カジノを保護するための銀行金融機関に関する中国人民銀行の通知」に記載されていました。 「中国 中国人民銀行の金融消費者の権利と利益の保護のための実施措置」およびその他の規範文書。さらに、「個人ドラクエ 11 カジノおよび重要データの海外移転の安全性評価に関する措置（意見募集草案）」、「個人ドラクエ 11 カジノの海外移転の安全性評価に関する措置（意見募集草案）」など、いくつかの規範文書および国家基準がまだ策定中である。 )」、「ドラクエ 11 カジノセキュリティ技術データ「出口セキュリティ評価ガイドライン (コメント用草案)」およびその他の規制も、より対象を絞った要件を提示しています。

「仕様」では、中華人民共和国の領域内で金融商品またはサービスの提供中に収集および生成された個人金融ドラクエ 11 カジノは、中華人民共和国の領域内で保存、処理、分析される必要があります。業務上の必要により、海外機関（本社、親会社または支店、子会社、その他業務遂行に必要な関連機関を含む）に個人金融ドラクエ 11 カジノを提供する必要がある場合、具体的な要件は以下のとおりです。

• 国内の法律と規制、および業界当局の関連規制を遵守する必要があります。

• 個人金融ドラクエ 11 カジノ主体の明示的な同意を得る必要があります。

• 個人金融ドラクエ 11 カジノの海外セキュリティ評価は、海外機関のデータセキュリティ保護機能がその国や関連業界のセキュリティ要件を確実に満たすように、国および業界の関連部門によって策定された方法と基準に従って実行される必要があります。部門と金融機関;

• 海外機関との協定締結、立入検査等により、個人金融ドラクエ 11 カジノの機密保持、データ削除、事件支援等の責任と義務の効果的な履行を明確にし、監督する必要がある。

「金融機関の顧客識別資料および顧客識別資料および取引記録の保存に関する管理措置」によれば、金融機関は、金融機関の分野で取得した顧客識別資料および取引ドラクエ 11 カジノを保存する必要があることは注目に値します。マネーロンダリング対策およびテロ資金供与対策は、「仕様書に記載されている個人金融ドラクエ 11 カジノには重複する部分があります。」と一致しています。したがって、関係機関が特定の状況下で関連ドラクエ 11 カジノを海外に提供・発信する場合には、マネーロンダリング対策やテロ資金供与対策など、他の関連法令のドラクエ 11 カジノ保存・管理要件を満たすことにも留意する必要がある。

3. 概要と展望

「仕様書」のリリース直後、国家市場規制総局と国家標準化局は、「ドラクエ 11 カジノセキュリティ技術個人ドラクエ 11 カジノセキュリティ仕様書」(GB/T 35273-2020、以下) の新バージョンを正式にリリースしました。以下「個人ドラクエ 11 カジノ安全基準」といいます）を定め、2020年10月1日から施行する予定です。前述のとおり、「仕様書」は金融機関に対し「個人ドラクエ 11 カジノセキュリティ仕様書」の要求事項の遵守を明確に求めており、すなわち「個人ドラクエ 11 カジノセキュリティ仕様書」は基本原則であり、「仕様書」は以下のとおり策定されています。個人の財務ドラクエ 11 カジノを保護するための特別な基準。

今後の金融テクノロジーの継続的な発展、ビジネスモデルの際限のない出現、および関連産業の段階的な開放により、個人金融ドラクエ 11 カジノ保護の分野には多くの課題が存在します。今年4月1日、中国証券監督管理委員会は予定通り証券会社の外国人株式保有比率制限を撤廃した。これは近年の我が国の金融業界のさらなる開放の背景の縮図でもある。