この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
「会計士事務所データ安全管理暫定弁法」の公布に関する通知
会計〔2024〕6号
各省、自治区、直轄市財政庁(局)、インターネット情報弁公室、新疆生産建設兵団財政局、網信弁公室、深セン市財政局各位
「国務院弁公庁の財務監査秩序の一層の規範化による公認会計士業界の健全な発展の促進に関する意見」(国弁発〔2021〕30号)の関連要求を貫徹、実行し、会計士事務所のデータ安全管理を強化し、会計士事務所のデータ処理活動を規範化するために、「会計士事務所データ安全管理暫定弁法」を制定し、ここに公布する。遵守、実行されたい。
添付資料:会計士事務所データ安全管理暫定弁法
財政部国家インターネット情報弁公室
2024年4月15日
添付ファイル
会計士事務所データ安全管理暫定弁法
第一章 総則
第一条 会計士事務所のデータ安全を保障し、会計士事務所のデータ処理活動を規範化するため、「中華人民共和国登録会計士法」、「中華人民共和国ネットワーク安全法」、「中華人民共和国データ安全法」、「中華人民共和国個人情報保護法」等の法律法規に基づいて、本弁法を制定する。
第二条 中華人民共和国境内に法に基づいて設立された会計士事務所において以下の監査業務に関するデータ処理活動を展開する場合、本弁法を適用する。
(一)上場企業及び非上場の国有金融機関、中央企業等に監査サービスを提供する場合
(二)重要な情報インフラストラクチャ運営者又は100万人以上のユーザーのネットワークプラットフォーム運営者に監査サービスを提供する場合
(三)国内企業の海外上場に監査サービスを提供する場合。
会計士事務所が従事する監査業務は前項の規定の範囲に属さないが、重要なデータまたは機密データに関連する場合は、本弁法を適用する。
第三条 本弁法でいうデータとは、会計士事務所が監査業務を実行する過程において、外部から取得し内部的に生成した任意の電子的またはその他の方法で情報を記録することを指す。
データセキュリティとは、必要な措置を講じることによって、データが有効な保護と合法的な利用の状態にあることを確保し、そして持続的な安全状態を保障する能力を備えていることを意味する。
第四条 会計士事務所は当該事務所のデータセキュリティ主体責任を負い、データセキュリティ保護義務を履行する。
第五条 財政部は全国会計士事務所のデータ安全監督管理を担当し、省級(深セン市、新疆生産建設兵団を含む)財政部門は本行政区域内の会計士事務所のデータ安全監督管理を担当する。
第六条 公認会計士協会は業界の自律を強化し、会計士事務所にデータの安全保護を強化し、データの安全管理レベルを高めるよう指導しなければならない。
第二章 データ管理
第七条 会計士事務所は以下の方面で当該事務所のデータ安全管理責任を履行しなければならない。
(一)データの全ライフサイクル安全管理制度を確立し、健全化し、データ運営と管理制御メカニズムを完備する。
(二)データセキュリティ管理組織の構造を健全化し、データセキュリティ管理の権利と責任のメカニズムを明確にする。
(三)業務特徴に適応したデータ分類及び分類管理を実施する。
(四)データ権限管理戦略を確立し、最小授権原則に従ってデータアクセスと処理権限を設定し、定期的に検討し、関連規定に従ってデータアクセス記録を保持する。
(五)データ安全教育訓練の組織展開。
(六)法律法規に規定されたその他の事項。
第八条 会計士事務所の首席パートナー(主任会計士)は、当該事務所のデータセキュリティ責任者である。
第九条 会計士事務所は、法律、行政法規の規定と被監査機関が置かれた業界データ分類及び分類基準に基づいてコアデータ、重要データ、一般データを確定しなければならない。
会計士事務所と被監査組織は、業務約定書、確認書等の方式を通じて監査資料中の機密データと重要データの性質、内容と範囲等を明確にしなければならない。
第十条 会計士事務所の機密データ、重要データの保存処理は、国の関連規定に合致しなければならない。
機密データを格納する情報システムは、レベル4のネットワークセキュリティレベル保護要件を実行しなければならない。重要なデータを格納する情報システムは、レベル3以上のネットワークセキュリティレベルの保護要件を実行しなければならない。
データが集まり、関連した後に国家秘密事項に属する場合は、国家秘密の保持に関する法律、行政法規の規定に基づいて処理しなければならない。
第十一条 会計士事務所は、監査業務に関する情報システム、データベース、ネットワーク機器、ネットワークセキュリティ機器等に対してアクセスログ記録機能を設置し、有効にしなければならない。
機密データに関連するログ保存期間は3年以上とする。重要なデータに関連する、関連ログの保存期間は1年以上とする。重要なデータの提供、委託処理、共同処理に関するログ保存期間は3年以上とする。
第十二条 会計士事務所は、データ転送操作規程を明確にしなければならない。機密データ、重要データ伝送過程において暗号化技術を採用し、伝送の安全を保護しなければならない。
第十三条 監査作業の下書きは、法律、行政法規及び国の関連規定に従って国内に保管しなければならない。関連する暗号化デバイスは、国内に設置され、国内チームが管理を実行し、鍵は国内に格納されなければならない。
第十四条 会計士事務所はデータバックアップ制度を確立しなければならない。会計士事務所は、監査関連応用システムが外部技術の原因で使用停止され、使用制限された場合にも、関連監査作業の下書きにアクセス、調達、使用できることを確保しなければならない。
第十五条 会計士事務所は、業務約定書又は類似契約に会計士事務所が国外監督管理機構に国内プロジェクト資料データを提供する等の類似条項を含んではならない。
第十六条 会計士事務所は、ネットワーク隔離、ユーザー認証、アクセス制御、データ暗号化、ウイルス防止、不法侵入検出等の技術手段を採用し、関連するサイバー攻撃と不法アクセスを適時に識別、遮断、追跡し、データの安全を保障しなければならない。
第十七条 会計士事務所はデータ安全応急処置メカニズムを確立し、データ安全リスクのモニタリングを強化しなければならない。データ流出、セキュリティ・ホール等のリスクが発見された場合は、直ちに救済、処置措置を取らなければならない。重大なデータセキュリティイベントが発生し、コアデータまたは重要なデータの漏洩、紛失、盗難、改ざんを招いた場合は、速やかに関係主管部門に報告しなければならない。
第十八条 会計士事務所が国内運営において収集・生成した個人情報及び重要なデータを国外に提供する場合は、国家データ出国管理に関する規定を遵守しなければならない。
第十九条 会計士事務所は監査作業の下書きの出国事項に対して段階的な再審査メカニズムを確立し、必要な措置を講じてデータ安全管理責任を厳格に実行しなければならない。出国が必要な監査作業の下書きについては、国の関連規定に基づいて審査手続きを行う。
第三章 ネットワーク管理
第二十条 会計士事務所は完備したネットワークセキュリティ管理ガバナンスアーキテクチャを構築し、内部ネットワークセキュリティ管理制度体系を確立し、健全化し、内部意思決定、管理、実行、監督メカニズムを確立し、ネットワークセキュリティ管理能力が提供された専門サービスに適応することを確保し、データセキュリティ管理業務に安全なネットワーク環境を提供しなければならない。
第二十一条 会計士事務所は、業務活動の規模及び複雑さに応じて相応の職業技能レベルを備えたネットワーク管理技術者を配置し、合理的なネットワーク資源の投入と資金の投入を確保しなければならない。
第二十二条 会計士事務所は情報システムの安全管理と技術防護をしっかりと行い、データの保存、処理レベルに応じて相応のネットワーク物理隔離または論理隔離等の措置をとり、厳格なアクセス制御戦略を設置し、許可されていないアクセス行為を防止しなければならない。
第二十三条 会計士事務所は、その監査業務システムにおけるネットワーク機器、ネットワークセキュリティ機器の自主管理権限を持ち、システム管理者口座と従業員口座を統一的に設置、維持しなければならず、制限されず、監視されていないスーパー口座を設置してはならず、管理者口座を第三者の運営・維持機関に任せて管理使用してはならない。
国際ネットワークに加入している会計士事務所が所在する国際ネットワークの情報システムを使用している場合は、国家データセキュリティ法律、行政法規、本法の規定に適合させ、当該事務所のデータセキュリティを確保するために必要な措置を講じなければならない。
第四章 監督検査
第二十四条 財政部と省級財政部門(以下、省級以上の財政部門と総称する)は、同級のネット情報部門、公安機関、国家安全機関と会計士事務所のデータ安全監督管理情報の共有を強化する。
第二十五条 省級以上の財政部門、省級以上のネット信用部門は会計士事務所のデータ安全状況に対して監督検査を行う。公安機関、国家安全機関は法に基づいて職責範囲内で会計士事務所のデータ安全監督管理の職責を担う。
第二十六条 金融、エネルギー、電気通信、交通、科学技術、国防科学技術等の重要分野の監査業務を請け負い、本弁法第二条の規定範囲に合致する会計士事務所に対して、省級以上の財政部門は監督検査業務の中で重点的に注目し、日常的な監督管理を引き続き強化する。
第二十七条 会計士事務所は法に基づいて実施されたデータ安全監督検査に対して、協力しなければならず、拒否、遅延、妨害してはならない。
第二十八条 会計士事務所がデータ処理活動を展開し、国の安全に影響を与え又は影響を与える可能性がある場合は、国の安全審査メカニズムに従って安全審査を行わなければならない。
第二十九条 関連部門がデータ安全監督管理の職責を履行する中で、会計士事務所がデータ処理活動を展開することに大きな安全リスクがあることを発見した場合、会計士事務所とその責任者に対して約束、期限付き改善を命じる等の監督管理措置をとり、隠れた危険を取り除くことができる。
第三十条 会計士事務所及び関係者が本弁法の規定に違反した場合、「中華人民共和国登録会計士法」、「中華人民共和国サイバーセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」等の法律、行政法規の規定に基づいて処理処罰しなければならない。他の部門の職責権限に関連する場合は、法に基づいて関係主管部門に移送して処理する。犯罪を構成する場合、司法機関に移送して法に基づいて刑事責任を追及する。
第三十一条 関係部門の従業員が会計士事務所のデータ安全監督管理の職責を履行する過程で、職務を怠り、職権を乱用し、私情にとらわれて不正を働いた場合、法に基づいて法律責任を追及する。
第五章 附則
第三十二条 会計士事務所及び関係者は国家秘密に関するデータ処理活動を展開し、「中華人民共和国保守国家秘密法」等の法律、行政法規の規定を適用する。
第三十三条 会計士事務所及び関係者は、その他の個人情報に関するデータ処理活動を展開し、関連法律、行政法規の規定を遵守しなければならない。
第三十四条 会計士事務所は、本弁法を参照して非監査業務データの管理を強化することができる。
第三十五条 本弁法は財政部、国家網信弁公室が解釈を担当する。
第三十六条 本弁法は2024年10月1日から施行する。
(中国語原文)
https://kjs.mof.gov.cn/zhengcefabu/202405/t20240510_3934477.htm