__CAPGO_KEEP_6__ __CAPGO_KEEP_7__, データセキュリティ法 (DSL), 且つ 個人情報保護法 (PIPL). 以下の迅速な適合性チェックリストをご覧ください。
- ユーザー認証の確認: 携帯電話番号または政府IDを使用してください。
- データのローカル保存: 全ての中国ユーザーデータは中国のサーバー上に留まる必要があります。
- ログの記録: 最低60日間ユーザー アクティビティログ を保存してください。
- データの保護: 従業員のデータを暗号化 (AES-256) および転送中 (TLS 1.3+) で保護します。
- セキュリティの検査: 年間 1 回の定期的なセキュリティチェックと年間の検査は必須です。
- 更新の管理: OTA の更新は暗号化、ログ化、ユーザーによる承認が必要です。
これらの基準を満たさないと、¥50,000,000 (~$7.5 million) または年間収益の 5% までの罰金が科せられます。暗号化された更新とコンプライアンスの追跡に使用するツールは Capgo です。
| 関連する法規制 | 有効期限 | 影響 |
|---|---|---|
| ネットワークデータセキュリティ管理規制 | 2025年1月1日 | 厳しいデータの適合性規則 |
| CSL改正 | 2025年3月28日 | 罰金の増加、厳格な執行 |
中国のサイバーセキュリティフレームワークの最新情報に従い、ユーザーデータを保護し、適切なドキュメントを維持し、データの漏洩を防ぐために、Capgoを使用してください。
主なサイバーセキュリティ法規制
中国サイバーセキュリティ法(CSL)
中国サイバーセキュリティ法(CSL)は、ネットワークセキュリティを維持するための基本的な要件を定めます。これには、実名登録、強力なセキュリティ対策の実施、定期的な評価、事故の報告が含まれます。近日発表された改正規定は、2025年3月に施行される予定で、データ保護の標準に合わせて違反に対する罰金を厳格化しています。 [1].
個人情報保護法(PIPL)
個人情報保護法(PIPL)は、ユーザーデータの管理に厳格なガイドラインを定め、透明性とセキュリティを強調しています。主な規定には、
| 要件 | 詳細 | 実装 |
|---|---|---|
| ユーザー同意 | __CAPGO_KEEP_0__ | __CAPGO_KEEP_1__ |
| 国境を越えるデータ転送 | __CAPGO_KEEP_2__ | __CAPGO_KEEP_3__ |
| データ保護 | __CAPGO_KEEP_4__ | 継続的な監視 |
PIPLでは、開発者は明確でオープンのデータハンドリング慣行を採用し、ユーザーの同意に関する詳細な記録を維持することを義務付けます。違反は、運用停止や最大¥50,000,000(約$7,500,000)までの罰金につながる可能性があります。 [2]これらの規則は、データセキュリティ管理規則の技術的措置の基盤を形成しています。
データセキュリティ管理規則
2025年1月1日から、ネットワークデータセキュリティ管理規則は、データ関連リスクの管理に関する包括的な枠組みを導入します。この規則は、以下を強調しています。
- リスク評価: データの感度、処理量、潜在的な国家安全保障影響を評価します。
- 技術的対策: データを分類し、アクセス制御を実施し、機密情報を暗号化します。
- インシデント対応: セキュリティインシデントに対処するための強力なドキュメントと技術的措置を維持します。
これらの更新は、強化された執行と新興のサイバーセキュリティ課題に対処することを目的としています。 [1].
アップデートやセキュリティパッチを実施するアプリ開発者にとって、 安全な更新プラットフォーム これらの規制に準拠することが簡単になる。 Capgo (https://capgo.appエンドツーエンド暗号化とリアルタイムの更新管理を提供 世界で最も多くのモバイルアプリを提供し、世界最大のモバイルインターネットユーザーを擁する市場データプライバシー要件 [4].
ユーザーIDの検証
ユーザーアカウントを有効にする前に、携帯電話番号または政府発行のIDを使用して実名検証を実施する。ユーザーの真の身元を記録し暗号化し、ユーザーがパブリックアリセイを表示できるようにする。さらに、規制に従ってユーザーの活動を記録する。
このプロセスを簡素化するには、中国移動などの認可されたローカル検証サービスと統合することを検討する。 [4]User Identity Verification Before activating user accounts, implement real-name verification using either mobile phone numbers or government-issued IDs. Ensure the true identities are recorded and encrypted, while allowing users to display public aliases. Additionally, log user activities as required by regulations そして 中国聯通 [4].
データの保存に伴う法令遵守も必須です。
データ保存要件
中国ユーザーから取得したすべてのデータは、中国本土のサーバーに保存する必要があります。2025年1月1日以降は、ネットワークデータセキュリティ管理規則に従う必要があります。 [1]データを国外に転送する必要がある場合は、政府のセキュリティレビューを受け入れ、またはユーザーの明示的な同意を取得する必要があります。 [3].
これらの要件を満たすには、以下の認可された中国クラウドプロバイダーと協力してください。 阿里雲 または 腾讯云これにより、ユーザーデータは指定された地理的境界内に保持されます。
保存要件を満たした後は、以下の必要なセキュリティ対策を実装することに焦点を当ててください。
必要なセキュリティ基準
__CAPGO_KEEP_0__ [1][3]__CAPGO_KEEP_0__ 2025 年のサイバーセキュリティフレームワークでは、ユーザーデータを保護するために強力な暗号化プロトコルを使用することを強調しています。
| __CAPGO_KEEP_0__ | Technical Specification | セキュリティ対策 |
|---|---|---|
| 技術仕様 | 目的 | 静止中のデータ |
| AES-256暗号化 | 保存されたデータを保護する | 移動中のデータ |
開発者が更新を管理する場合、Capgoのようなプラットフォームは、セキュリティ要件に沿ったエンドツーエンド暗号化を組み込んでいます。
定期的な検査とテストは、すべてのセキュリティ対策が効果的で最新であることを保証するために不可欠です。 [1].
中国におけるサイバーセキュリティとデータ保護の規制、課題、ヒント
中国のサイバーセキュリティ規制では、組織が詳細な技術セキュリティ対策を実施して規制に準拠する必要があります。2025年3月、
中国サイバースペース管理委員会 (CAC)は、規制遵守の実行可能な実践に翻訳された法的義務を定めたCybersecurity Law (CSL)の改正を発表しました。 セキュリティスキャン実行スケジュール [1].
モバイルアプリケーションは、CAC承認のスキャニングツールを使用して毎月セキュリティチェックを受ける必要があります。
これらの評価は、 [1]セキュリティ要素
| Security Aspect | リスク評価頻度 | __CAPGO_KEEP_0__ のドキュメントが必要 |
|---|---|---|
| 脆弱性リスク評価 | 毎月 | __CAPGO_KEEP_0__ のスキャン結果と修正計画 |
| Code セキュリティレビュー | 毎月 | code のソースコード分析結果 |
| サードパーティー コンポーネント チェック | 毎月 | 依存関係の監査結果 |
すべてのスキャン結果は、年次法規監査のために保存され、提供される必要があります。さらに、当局は検査のためにこれらの結果への即時アクセスを要求する可能性があります。 [1][5].
ユーザー許可制御
中国で動作するモバイルアプリケーションでは、ロールベースのアクセス制御(RBAC)が不可欠な要件です。 [1]. 開発者は次のことを実施する必要があります。
- ユーザー役割に基づいて厳密な許可レベルを設定する。
- アクセス活動の詳細なログを維持する。
- 許可設定を適切に維持するために、定期的に確認および更新する。
アプリケーション更新を取り扱う開発者にとって、プラットフォームであるCapgoは、ユーザー役割と許可を効率的に管理するための組み込みツールを提供し、セキュリティパッチの迅速な展開を可能にします。
セキュリティインシデント対応
組織は、検出時から12時間以内にCACにセキュリティインシデントを通知する必要があります。この通知には、初期評価と抑制措置の詳細が含まれます。 [1][5].
包括的なインシデント対応計画は、以下の点をカバーする必要があります。
- 問題の検出と抑制。
- 調査とコミュニケーション戦略。
- __CAPGO_KEEP_0__は必要な場合にのみ通知されます。
__CAPGO_KEEP_0__の後、セキュリティプロトコルの更新など、根本原因、対策措置を含む詳細な報告書を規制当局に提出する必要があります。
中国サイバースペース庁は、2025年3月のガイドラインで「中国のデータ保護法の最新の改正は、中国の主要なデータ保護法であるPIPLとDSLと同等の罰金額と強化された執行を目的としています」と述べています。 [1].
__CAPGO_KEEP_0__は定期的に実施し、従業員のトレーニングセッションも必要であり、規制検査のためにすべての関連文書を保管する必要があります。 [1][2].
App Storeの要件
中国でアプリを公開する場合、技術基準を満たすだけではありません。開発者は、中国サイバースペース庁(CAC)と産業情報技術省(MIIT)の規制に従う必要があります。 MIIT登録プロセス MIITに登録するには、以下の準備が必要です。 [1].
事業許可証または組織証明書、承認状
アプリの機能とデータ収集の実施に関する詳細な説明
- __CAPGO_KEEP_0__は__CAPGO_KEEP_0__の機能とデータ収集の実施に関する詳細な説明です。
- __CAPGO_KEEP_0__は__CAPGO_KEEP_0__の機能とデータ収集の実施に関する詳細な説明です。
- ネットワークセキュリティ評価のドキュメント
- 個人情報保護の影響評価
標準的なレビュープロセスは通常、7~10のビジネス日で完了します。ただし、外国人開発者は、ローカルエンティティを通じて作業する必要があるため、延長された処理時間に直面することがよくあります。これらのステップは、データセキュリティとユーザープライバシーを確保するために、以前の技術的セーフガードを拡張しています。
セキュリティテストの要件
登録に加えて、必須のセキュリティテストを受ける必要があります。 ネットワークデータセキュリティ管理規制2025年1月1日に施行される予定の規制は、カテゴリごとに特定のテストプロトコルを定めている。 [3]:
-
金融と医療アプリ
These apps require penetration testing and source code reviews conducted by CAC-approved organizations. Developers must also retain security documentation for three years. -
社会と教育アプリ
テストは、脆弱性評価とデータ保護基準への準拠に焦点を当てています。さらに、ユーザー活動ログは少なくとも60日間保持する必要があります。 [4]. -
一般アプリケーション
これらのアプリは、暗号化基準とデータ処理の実践を含む基本的なチェックを受けます。 また、承認された方法を通じてユーザー ID の検証も提供する必要があります。
SDK 合格チェック
開発者は、使用している SDK の詳細なインベントリを維持する必要があります。これには、次のものが含まれます。
- SDK 名称、バージョン、提供元
- データアクセス許可と保存場所
- セキュリティ証明書
- 個人情報保護法(PIPL)とデータセキュリティ法(DSL)への合致 [2]
クラウドベースのアップデートに依存するアプリの場合 、プラットフォームは中国のサイバーセキュリティ基準に沿ったバージョン管理とパッチの展開のためのツールを提供します。, platforms like Capgo provide tools for version control and patch deployment that align with Chinese cybersecurity standards.
アップデート管理 [4].
These apps are subject to basic checks, including encryption standards and data handling practices. They must also provide user identity verification through approved methods.
中国では、更新管理は技術的な調整だけではなく、厳格なサイバーセキュリティ規制に適合することを目指すものです。規制は常に進化しています。 [1].
中国におけるOTAアップデートの要件
中国におけるオーバー・ザー・エア(OTA)アップデートは厳格なセキュリティと法的規制に適合する必要があります。 [1]ここでは、必要なものをご紹介します。
- 端末間の暗号化: アップデートパッケージは、送信中の暗号化とデジタル署名を含むようにする必要があります。 [1].
- ユーザー認証: アップデートは、ユーザーが明示的に同意するまで進みません。ユーザー認証は、携帯電話番号の検証などで行われます。 [4].
- データローカライズ: 中国ユーザー向けのアップデートを配信するインフラは、中国国内に物理的に設置する必要があります。 [2].
- ドキュメント: アップデートの詳細なログを、ユーザーが同意した情報、ログイン記録、セキュリティ評価など、少なくとも60日間保存する必要があります。 [3].
中国国家互联网信息办公室 (CAC) は、重大なセキュリティパッチに対して迅速な対応を義務付けています。企業は、直ちに脆弱性の通知を発行し、修正の展開を優先する必要があります。 [1].
これらの要件は、バージョン管理システムの整理がうまくいっていることを保証するものです。
バージョン管理
中国のネットワークデータセキュリティ管理規則 (Network Data Security Management Regulation) では、2025 年 1 月以降、企業は、バージョン管理プロセスを強化する必要があります。具体的には、以下の要件があります。
| 要件 | 期間 | 目的 |
|---|---|---|
| バージョン履歴 | 最低 60 日間 | セキュリティの監査や調査のために |
| 変更履歴 | 徹底的な | すべての更新と修正を記録する |
| セキュリティ評価 | 各更新ごとに | 規制に準拠した保全 |
| ユーザー分布の追跡 | 継続的 | 更新の採用状況を監視する |
ロールバック機能は、企業が以前のバージョンに迅速に戻ることを可能にするため、必須です。これらの古いバージョンも、少なくとも60日間保存する必要があります [3].
バージョン管理のために第三者サービスを使用する場合、企業は以下を確実に実施する必要があります: 中国当局への登録、ローカライズされたインフラの展開、責任の明確な文書化、データローカライゼーション法への準拠 [1].
敏感データを管理するプラットフォームでは、データ収集方法やアクセス許可を変更する更新には、規制準拠の保全を維持するために追加のテストと検証が必要です [4].
ツールとしてCapgo (https://capgo.app__CAPGO_KEEP_0__ リアルタイム更新ソリューション 暗号化、CI/CD統合、バージョン管理の詳細な機能を含む
これらの規制に従わないと、収益の5%以下の罰金や中国のアプリストアからの削除など厳しい結果に直面する可能性があります。 [2].
規制遵守ドキュメント
中国のサイバーセキュリティフレームワークでは、徹底したドキュメント作成に強い焦点が置かれています。2025年3月の改正により、規制遵守の要件が厳しくなり、罰則が大幅に増加しました。 [1].
必要な年間監査
アプリは、Personal Information Protection Law (PIPL)、Data Security Law (DSL)、Cybersecurity Law (CSL)の最新の改正に準拠することを確認するために、詳細なセキュリティ監査を受けなければなりません。 [1][2]監査の概要
| 監査のスケジュールとドキュメントの保管期間についての概要です。 | 監査の種類 | 頻度 |
|---|---|---|
| 標準アプリ | 年間 | 5 年 |
| 重要インフラ / 高データ量アプリ | 半年 | 5 年 |
__CAPGO_KEEP_0__
データフロー文書
データの境界を越える場合、組織はデータフローマップの詳細な文書を提供し、セキュリティアセスメントを実施し、明示的なユーザーの同意を取得し、リスク軽減戦略を実施する必要があります。これらの記録は、転送関係の終了後少なくとも 3 年間保持する必要があります。 [2].
ログストレージ規則
ネットワークデータセキュリティ管理規則は、ログの保持に関する特定の要件を定めています。これには、以下のものが含まれます: [3]. These include:
-
システムアクティビティログ
- ユーザー登録情報
- ログインタイムスタンプとIPアドレス
- 機能使用パターン
- コンテンツ公開活動
-
財務取引ログ
- __CAPGO_KEEP_0__
- __CAPGO_KEEP_1__
- __CAPGO_KEEP_2__
-
__CAPGO_KEEP_3__
- 管理者アクセスログ
- __CAPGO_KEEP_4__
- ログの変更とエクスポート/ダウンロード活動の記録
-
一般ログ
- 保存期間の要件: 最低 60 日間 [4]
これらのログを維持しないと、年間収益の 5% までの罰金に至ることがあります。 [1]自動更新サービスも、更新関連のすべての活動を記録して、適合性を示すために必要です。
適切なドキュメンテーションは、従業員のトレーニングとインシデント対応計画など、他の適合性の基礎となります。
適合性トレーニングと違反
違反対応計画
2025 年 3 月の CSL の改正では、違反に対処するための詳細なプロトコルを備えることが重要であることを強調しています。 [1]通常、効果的な対応計画には、以下の重要なフェーズが含まれます。
| 対応フェーズ | 必要なアクション |
|---|---|
| 初期検出 | - 影響を受けたサービスを一時停止する - インシデントの詳細を記録する - 内部のコンプライアンスチームに通知する |
| 権限の通知 | - 中国サイバースペース庁 (CAC) に報告する - 予備調査報告書を提出する - 回復計画を提示する |
| 回復 | - 技術的な修正を実施する - セキュリティプロトコルを更新する - 全ての変更を記録する |
| 事後対応 | - 最終報告書を提出する - 追跡調査を実施する - トレーニング資料を更新する |
CACは、迅速かつ詳細な対応を必要とすることを強調するために、公の告発システムを導入しました。 [4]これらの取り組みを支援するために、組織は、すべてのレベルで遵守性を確保するために、徹底した従業員トレーニングプログラムとともに、対応計画を組み合わせるべきです。
従業員トレーニング要件
2025年1月以降、ネットワークデータセキュリティ管理規則では、技術的およびドキュメント基準に沿った正式なトレーニングプログラムを義務付けています。 [3]これらのトレーニングプログラムは、最新の規制要件に準拠するために不可欠です。
義務付けられた年間トレーニングトピック
- データプライバシー原則と適切な取り扱い手順
- CSLと個人情報保護法(PIPL)に関する最新情報
- __CAPGO_KEEP_0__
- __CAPGO_KEEP_1__
- __CAPGO_KEEP_2__
__CAPGO_KEEP_3__
- __CAPGO_KEEP_4__
- __CAPGO_KEEP_5__
- __CAPGO_KEEP_6__
__CAPGO_KEEP_7__ [1].
__CAPGO_KEEP_8__
- __CAPGO_KEEP_9__
- __CAPGO_KEEP_10__
- __CAPGO_KEEP_11__
- 法令管理ソフトウェアを活用してプロセスを簡素化する
規則に従った定期的なトレーニングは、規制違反リスクを効果的に軽減するだけでなく、規制遵守を確実にする
結論:規制遵守チェックリストの概要
このチェックリストは、中国の規制フレームワークの3つの核法によって形成される、中国の規制フレームワークへの適合を確実にするために必要な基本的な領域を強調しています。最新の改正に合わせて、厳格な遵守と適切なツールのサポートが必要です。
| 規制対象領域 | 要件 | ツール |
|---|---|---|
| データプライバシー | - モバイル番号を使用したユーザーIDの検証 - 最少60日間の活動ログの保持 - 安全なデータの保存 | - 身分確認システム - セキュアなログ記録プラットフォーム - ローカルストレージソリューション |
| セキュリティスタンダード | - 定期的な脆弱性評価を実施 - インシデント対応プロトコルを確立 - 統一された暗号化を使用 | - セキュリティスキャニングツール - リスポンスマネジメントシステム - 暗号化フレームワーク |
| アップデートマネジメント | - セキュリティパッチを迅速に展開 - バージョン管理を維持 - アプリストアの規制に適合する | - オーバー・ザエア(OTA)アップデートのソリューション - バージョン管理ツール -規制チェッカー |
The ネットワークデータセキュリティ管理規制, 2025年1月1日から、厳格な規制措置が実施される [3]. これらの要件を満たしながら、スムーズなアプリの更新を保証するために、開発者は Capgo のようなツールに頼ることができます。Capgoは、中国市場向けにエンドツーエンド暗号化されたOTAアップデートを提供します。
規制に適合するために必要ないくつかの重要なステップは次のとおりです。
- 規制の変更を追跡し、必要に応じて内部プロトコルを更新する。
- すべてのセキュリティ対策とデータハンドリングの実践を徹底的に文書化する。
- 定期的なセキュリティ評価を実施し、規制プロトコルへの従業員のトレーニングを実施する。
- __CAPGO_KEEP_0__
__CAPGO_KEEP_0__ [4].
FAQs
::: faq
__CAPGO_KEEP_0__
__CAPGO_KEEP_1__
- __CAPGO_KEEP_2____CAPGO_KEEP_3__
- __CAPGO_KEEP_4____CAPGO_KEEP_5__
- __CAPGO_KEEP_6____CAPGO_KEEP_7__
- 通常のセキュリティアセスメント: 定期的なオーディットと脆弱性スキャンを実行して潜在的なセキュリティ問題を発見し解決する。
Capgoは開発者が規制遵守を達成するために提供する、 端末間の暗号化 と リアルタイムの更新 が可能なCapacitorアプリケーションに対応しています。この機能により、アプリケーションに修正や新機能の更新が即時で、ストアの承認を待つ必要がなく、セキュリティと規制遵守が容易になります。 :::
::: faq
中国のサイバーセキュリティ規制に準拠したユーザーデータの安全な保存と送信方法について、開発者はどのように行うことができるか?
中国のサイバーセキュリティ規制に準拠するには、開発者はユーザーデータの 安全な保存と送信に焦点を当てる必要があります。以下の方法で実現することができます。
- 安全性を確保するために、保存されたり送信されたりする際に敏感なデータを強力な暗号化基準で保護する。 HTTPSやTLSなどの安全な通信プロトコルを使用して、データが転送されている間もデータを保護する。 新しい脆弱性や脅威に対処するために、セキュリティ対策を継続的に監視し、強化する。
- 中国の 個人の情報保護法(PIPL) と
- サイバーセキュリティ法
- に準拠し、必要に応じてデータを中国のサーバーに保存する必要があるなど、中国の法令に適合する。 中国の 個人の情報保護法(PIPL) とサイバーセキュリティ法
Platforms such as Capgo can simplify compliance efforts by offering real-time updates. This allows apps to stay secure and current without the need for app store approvals. Additionally, Capgo’s end-to-end encryption strengthens data protection, making it easier to meet regulatory demands. :::
:::
::: faq
中国のサイバーセキュリティ規制に従わないリスクは何ですか。中国市場に参入するビジネスはどのように対処することができますか? 中国のサイバーセキュリティ規制に従わないと、重大な結果に直面することになります。, 厳重な罰金, アプリのストアからの削除データ漏洩 、そして法的措置
。これらのリスクの他に、非合法の行動は、中国市場でのビジネスの地位を維持することが困難になる可能性があります。 リスクを軽減するには、ビジネスはアプリがすべての規制基準に準拠していることを確認する必要があります。これには、データのローカライズ規則への従属が含まれます。データ収集の許可を取得し、 ユーザーの同意を得ること徹底的な セキュリティアセスメント. Tools like Capgo can simplify the process by helping developers roll out updates and fixes efficiently, ensuring compliance without disrupting app functionality. Keeping up-to-date with regulatory changes and addressing them proactively is essential for avoiding penalties and achieving long-term success in China. :::
