【2025年版】中国サイバーセキュリティ基準が刷新:「重大リスク33項目」への対応はお済みですか?
こんにちは!クララのクロスボーダービジネスチームです!
2025年3月、中国公安部より発出された通達《公网安〔2025〕1846号》により、中国のサイバーセキュリティ制度「等級保護制度(MLPS 2.0)」に大きな変化がありました。
特に注目されているのが、「重大リスク 33項目」の明文化です。
これは、従来の高リスク項目(28項目)を再構成・拡充した新たな評価フレームであり、今後の測評・査察・是正対応の基準になる極めて重要な指標です。
本記事では、「33項目」が制定された背景や構成を分かりやすく整理するとともに、過去の「28項目」との違いや、日系企業が取るべき対応方針について、最新情報を交えて解説します。
この記事の目次
そもそも「等級保護制度(MLPS)」とは?
中国の「等級保護制度(MLPS:Multi-Level Protection Scheme)」は、あらゆるネットワーク情報システムに対してセキュリティレベル(等級)を定め、そのレベルに応じた保護措置を求める国家制度です。
2017年施行の「サイバーセキュリティ法」を背景に、現在はMLPS 2.0(第2世代)が主流となっており、等級2以上に該当する場合は公安部への届出・測評・是正が義務付けられています。
これまでの「高リスク28項目」とは?
従来のMLPS測評では、公安部の実務ガイドラインに基づき「一票否決」となる28の高リスク項目(高风险测评项)が示されてきました。
この28項目は、2019年頃に国家信息安全测评中心や公安部下部組織が発行した「高风险测评项判定指引(試行)」や関連研修資料の中で明文化され、等保2.0制度における実質的な”最低限のセキュリティ基準”として運用されてきた経緯があります。
特に、公安部指定の機関がこのリストをもとに実施する評価では、いずれかに該当するだけで”不合格”と判定されるケースもあるなど、現場での運用インパクトが大きい実務指標でした。
以下のような構成でした:
- 境界防護未設置
- 脆弱性未修正
- ログ未収集/改ざん対策なし
- デフォルトID/弱いパスワード使用
- 暗号化通信・保存なし
- バックアップ・教育・MFA未実施 など
この28項目は、業種問わず多くの測評で評価基準の根幹を成してきました。
2025年、制度改定とともに「33項目」へ
2025年3月〜5月にかけて、中国公安部および国務院から以下の通達・方針が発表されたと言われています:
| 日付 | 内容 |
| 2025年3月8日 | 《公网安〔2025〕1001号》:等級対象システムの再定級・再登録の徹底を通達 |
| 2025年4月27日 | 《公网安〔2025〕1846号》:”重大リスク有害事項33項目”の明文化を発表 |
| 2025年5月14日 | 国務院が「等保条例」法制化を正式に立法計画へ盛り込み |
これにより、33項目は測評や行政対応における重要な判断基準として扱われ、より厳格な是正要求に直結するものと見られます。
「重大リスク33項目」ってなに?
33項目は、従来の28項目をベースに次のようなカテゴリに分類され、リスク分類がより具体化・構造化されています:
| 分類カテゴリ | 件数 | 例 |
| 物理・インフラ管理 | 2件 | サーバールームの物理制御/屋外機器の防火対策なし |
| 通信ネットワーク・クラウド構成 | 6件 | 仮想ネットワーク未分離/クラウド侵入防御なし |
| アクセス制御・境界保護 | 6件 | IoT無認証接続/未使用ポート開放 |
| 攻撃・脆弱性対策 | 9件 | 内部・外部からの攻撃検知/APT対応なし |
| データ保護・可用性 | 4件 | 平文保存・通信/バックアップ未実施 |
| 統合的な運用リスク | 6件 | 管理権限奪取/教育不足/資産管理不備 |
✅ 合計:33項目
「33項目リスト」は非公開?
この33項目は、現時点で公安部から認定測評機関などに限定配布されており、正式な全文公開は確認されていません。
一方で、中国国内のセキュリティベンダーや等保コンサル機関が、公安部通達をもとに構造推定されたリストを公開しています。
「28項目」と「33項目」の主な差分
| 比較項目 | 高リスク28項目 | 重大リスク33項目 |
| 制定時期 | 2019年頃〜 | 2025年4月以降 |
| 公開状況 | 一般向けに広く公開 | 測評機関に限定配布(推定構成) |
| 項目数 | 28項目 | 33項目(+補助1項目) |
| 新たな視点 | – | IoT/クラウド露出/0day対応/教育体制/サプライチェーンなど |
| 制度上の位置づけ | 測評時の重点チェック | 測評前の是正義務・行政評価基準 |
日系企業にとっての影響は?
| 観点 | 内容 |
| 対象範囲の拡大 | 個人情報や画像データを扱うSaaS型アプリも対象化の可能性 |
| 再定級・再登録の必要性 | 既取得済みシステムでも再定義が求められるケースあり |
| 測評対応 | 33項目を基にした記録整備・是正証跡の提出が求められる可能性 |
| 日中コンプライアンス統合 | 日本のISMSでは不十分。中国側文書・記録要件を別途整備すべき |
「33項目の日本語訳付きリスト」
本記事では要点のみに触れましたが、33項目の日本語訳付き構成リストを、ご相談者様限定でご提供可能です。
「自社システムが対象か不安」「何から整備すべき?」というご相談もお気軽にお問い合わせください。
出典・参考情報(2025年7月時点)
- 公安部通達《公网安〔2025〕1846号》(2025年4月27日)
- 《网络安全等级保护制度2.0通用要求(GB/T 22239-2019)》
- 等保测评网:重大风险隐患33项分析(https://dengbaoceping.org/index.php/重大风险隐患33项)
- 国家信息安全测评中心:高风险测评项技術解説(https://www.nncc626.com/zx/gzdt/20240701.html)
- FreeBuf:等保2.0高风险项判定汇总(https://www.freebuf.com/articles/es/209997.html)
