中国データ安全法・個人情報保護法:越境移転規制の最新運用と日本企業の実務対応

中国データ安全法・個人情報保護法:越境移転規制の最新運用と日本企業の実務対応 海外動向
この記事は約12分で読めます。

一枚要約

何が起きているか: 中国は個人情報保護法1(PIPL、2021年11月施行)データ安全法2(DSL、2021年9月施行)を運用中。2024年3月22日「データ越境流通の促進・規範化に関する規定」で件数閾値の引き上げ等が行われた一方、「重要データ3」(DSL第21条)や機微な個人情報への制限は維持されている。

自社への影響: 中国に拠点・取引先を持つ企業は、移転データの「重要データ」該当性の判定、PIPL越境移転メカニズム(安全評価4/標準契約5/認証)の選択、加えてインシデント対応・外国当局対応の越境制約まで含めて整理し直す必要がある。違反時の制裁は最高5,000万元または前年度売上高5%(PIPL第66条)。

打つべき手: データインベントリ → 重要データ該当性の中国法専門家照会 → 越境移転メカニズム選択と個人情報保護影響評価6(PIPIA、PIPL第55-56条)の実施・記録、の3ステップ。

このテーマを取り上げる理由

中国は2021年、データ安全法(DSL)個人情報保護法(PIPL)を相次いで施行し、データの越境移転を厳格に規制する体制を整えました。2024年3月には件数閾値の引き上げ等で一部緩和が図られた一方、「重要データ」や機微な個人情報には引き続き高いハードルが課されており、解釈・運用の不確実性は今なお続いています。中国に拠点や取引先を持つ日本企業にとって、現状を正確に把握することが急務です。

海外で何が起きているか

中国データ規制の3層構造と”強制レイヤー”

中国のデータ規制は3つの主要法令で構成されます。2017年施行のネットワーク安全法7(CSL、サイバーセキュリティ法)が基礎法として機能し、2021年9月施行のデータ安全法(DSL)がデータ処理全般の分類・保護義務を規定します。同年11月施行の個人情報保護法(PIPL)は個人情報に特化しており、構造的にはGDPRと対比しやすいものの、「データ主権」と「国家安全保障」という独自概念が色濃く反映されている点がEUとの大きな違いです。

ここで重要なのは、PIPLの越境移転規制(個人情報の合法的な国外移転メカニズム)と、中国国内に残るデータへの政府アクセスは別問題だという点です。国家情報法第7条(一切の組織と個人は国の情報活動に協力する義務)、CSL第28条(ネットワーク運営者の協力義務)、DSL第35条(公安・国家安全機関の調査協力)の3点セットにより、PIPL準拠で越境移転を適法化しても、中国国内残存データに対する強制アクセスのリスクは消えません。R&Dノウハウ・製造工程データ・M&A関連情報を中国側に置く設計には、この”強制レイヤー”の影響を別途見積もっておくべきです。

PIPLが定める越境移転の3メカニズム

PIPLは個人情報の越境移転に3つの適法根拠を設けています(PIPL第38条)。

  • 安全評価(Security Assessment、PIPL第40条): 国家互联网信息办公室8(CAC)による審査。重要情報インフラ運営者9(CIIO)や一定量以上の個人情報を越境移転する場合に義務付けられます。
  • 標準契約(Standard Contract): GDPRの標準契約条項(SCC)に相当。2023年6月1日施行の「個人情報越境標準契約弁法」に基づきCACへの届出が必要です。
  • 認証(Certification): CAC認定機関による第三者認証。現時点では運用実績が限定的で、実務の主流は安全評価と標準契約の二択です。

加えて、いずれのメカニズムを採用する場合でも、PIPL第39条に基づく個人情報主体への個別通知と別途同意が必要となる点が見落とされがちです。「メカニズム選択=同意取得済み」ではありません。

2024年3月の緩和措置:何が変わったか

CACは2024年3月22日、「データ越境流通の促進・規範化に関する規定」(促进和规范数据跨境流动规定)を施行しました。主なポイントは3層の閾値整理です。

規制レイヤー 適用条件(個人情報件数) 必要な手続き
手続き免除 累計100万人未満 かつ 機微個人情報1万人未満 越境移転規制の対象外(PIPL一般義務は適用)
標準契約 / 認証 累計100万人未満 かつ 機微個人情報1万人以上、または 累計10万人〜100万人未満 CAC届出(標準契約)または第三者認証
安全評価 累計100万人以上、または機微個人情報10万人以上、またはCIIO該当 CAC安全評価申請(審査期間:標準60営業日)

ただし、「重要データ」の越境移転は件数を問わず安全評価が必須である点、FTZ(自由貿易区)の特例も負面清単に掲載された業種・データには適用されない点に注意が必要です。閾値の正確な数値は公式原文と中国法専門家での確認を推奨します。

2024年緩和の誤読リスク: 「件数閾値が引き上げられた=越境移転が自由化された」という報道理解は危険です。重要データ・機微個人情報・CIIOの規制は維持されており、業種所管官庁(中国人民銀行、国家医療保障局等)の業種別規定も別途重畳します。緩和措置の恩恵を享受する前に、自社データが「重要データ」「機微個人情報」に該当しないかをDSL第21条と業種ガイドラインで再判定したうえで運用判断を下します。

2025年以降の執行動向

CAC等による標準契約届出の受理・審査実績は積み上がりつつあり、実務上の運用感が徐々に明らかになっています。業種所管官庁が業種別データ分類・格付けガイドラインを整備する動きも続いており、PIPLの一般規定に業種規制が重畳する構造が複雑さを増しています。なお、「重要データ」の国家統一目録は本記事執筆時点で未発表であり、業種ガイドラインで個別に確定される運用が続いている点も実務上の不確実性として残ります。

日本企業への含意

3つの関与度別に整理します。

直接適用(中国拠点あり): 現地法人・工場・研究開発拠点を持つ企業は、従業員データ・顧客データ・製造ラインの稼働データが「重要データ」(DSL第21条:国家安全・経済運行・社会安定・公共衛生・公共利益に関するデータ)に該当するかをDSL・業種ガイドラインで判定し直すことが第一歩です。CIIOまたは重要データ処理者に該当する場合は、CSL第37条・DSL第31条により国内保存が原則であり、越境移転はその例外として位置づけられる点を理解しておくべきです。「安全評価を通過すれば自由に移転できる」という申請許可型の単純な構造ではありません。

外国当局対応の制約: 日本・米国・EUの規制当局や訴訟当事者から、中国子会社のデータ開示を求められた場合、通常の越境移転メカニズムとは別にDSL第36条に基づくCAC等の承認が必要となりえます。SEC・EU GDPR当局・eDiscoveryへの対応ルートが法的に詰まりうるため、グローバルコンプライアンス調査の手順書には中国データの取扱い分岐を組み込んでおくことが欠かせません。

インシデント対応フローの事前整備: 中国拠点でインシデントが発生した際、フォレンジックデータ・端末イメージ・ログを日本のSOCや外部フォレンジック業者に送ること自体が、DSL/PIPLの越境移転規制の対象になりえます。「グローバルSOCへのログ転送 → 外部フォレンジック委託 → 海外弁護士へのレポート共有」という標準IRフローが規制に抵触する構造です。インシデント発生後にメカニズムを整えるのでは遅く、平時のうちに法的根拠(同意取得、契約条項、緊急時の例外運用)を整備しておくのが現実的です。

間接適用(サプライチェーン): 中国サプライヤーや委託先を持つ企業は、相手方がPIPLの義務主体となる中で自社に連鎖的に要件が波及する可能性があります。特に製造業でのIoTデータやR&Dデータの委託処理は、DSLの重要データ概念との整合を確認すべきです。日本側で個人情報を受領する場合は、改正個人情報保護法第28条(旧24条の2)の越境移転規制との二重対応も必要となります。

参考としての活用: 中国事業がない企業でも、EUのGDPRと対比しながら越境移転規制の設計思想の違いを把握しておくことには意味があります。「データ主権型」の規制アプローチは他の国・地域にも広がる可能性があり、先読みの材料となります。

業種別影響

  • 製造業: 工場稼働データ・品質管理データを日本や第三国の拠点に送る際、DSLが定める「重要データ」への該当性が最大の焦点となります。自動車・半導体など安全保障と接続する業種では、CAC以外に業種所管官庁の規定も別途かかるケースがあります。安全評価申請が必要な場合は審査期間・コストともに相応の準備が求められ、対応コストはデータ量と業種規制の重畳度合いで大きく変動します。
  • 金融: 中国で展開する日系銀行・証券・保険は、PIPLの一般規定に加え、中国人民銀行(PBOC)や国家金融監督管理総局(NFRA)の業種規制が重畳します。FTZの緩和措置も業種規制側で制限されることがあり、一般論での「緩和」をそのまま適用できないケースが多いのが実情です。
  • IT・SaaS: グローバル共通プラットフォームで中国ユーザーを取り込む設計では、データの物理的分離またはCAC手続きが求められる場合があります。クラウドサービス提供者として中国ユーザーのデータを処理する際は、PIPL上の「処理者」として義務を負う点にも注意が必要です。セキュリティログ・EDRテレメトリのグローバル集約も越境移転の対象に含まれうるため、SIEM・SOC運用の設計段階での整理が欠かせません。

今日着手できる3アクション

  • データインベントリの開始(IT・法務・事業部門の3者で): 中国拠点から日本・第三国へ移転しているデータの一覧を作成します。ERP・クラウドバックアップ・HR管理ツールに加え、SIEM・SOCへのセキュリティログ転送、EDRテレメトリ、クラウドアクセスログ、構成管理データベースなど「IT運用上の見えない越境移転」を含めて洗い出します。CACの公式サイト(https://www.cac.gov.cn/)で最新ガイダンスも確認します。
  • 中国法専門家への照会と適用メカニズムの判定: 移転データの「重要データ」該当性と、適用メカニズム(標準契約か安全評価か)の選択は、中国法に精通した弁護士なしに自己判断するとリスクが高い領域です。既存顧問に中国データ規制の対応経験があるかを確認し、なければ専門家の手配を検討します。あわせて、外国当局対応(DSL第36条)とインシデント対応フローの中国データ取扱い手順書も早期に整備を依頼します。
  • 2024年3月規定の閾値原文確認とPIPIA実施: CACが2024年3月に公表した「促进和规范数据跨境流动规定」の正文(中国語)または公式訳を入手し、自社が享受できる緩和措置の閾値を確認します。並行して、越境移転実施前にPIPL第55条に基づく個人情報保護影響評価(PIPIA)を実施し、第56条に基づき記録を3年間保存する体制を整えます。在中国日本国大使館や日本貿易振興機構(JETRO)の情報提供も活用できます(https://www.cn.emb-japan.go.jp/)。

AI×セキュリティの観点

シャドーAI: 中国拠点の従業員がChatGPT・Claude等のグローバルAIサービスを個人アカウントで業務利用し、プロンプトに業務データや個人情報を含めると、PIPLの適法根拠(同意・契約・評価)を欠いた越境移転が発生します。中国本土からこれらのサービスにアクセスする経路自体に制約があるとはいえ、VPN等を介した利用が現場で常態化していれば実害は同じです。利用規則の整備と、Webフィルタリング・DLP(Data Loss Prevention)等の技術的制御を先に整えるのが順序です。

脆弱性Disclosure方針との矛盾: 中国の「ネットワーク製品セキュリティ脆弱性管理規定」(2021年9月)により、製品脆弱性は発見後2日以内にCNVD(国家信息安全漏洞共享平台)へ報告する義務があります。この義務はグローバルで一般的な90日Coordinated Disclosure方針と根本的に矛盾し、ペネトレーションテスト結果がDSLの「重要データ候補」となる可能性も加わります。中国でセキュリティ評価を実施する場合は、脆弱性データの取扱いポリシーを事前に整備しておくことが必要です。

国家安全审查との混同回避: 本記事の「安全評価」はPIPLの越境移転文脈で使われる用語ですが、DSL第24条の国家安全审查(M&A・投資に係る審査)は別制度です。両者の適用範囲は異なるため、社内資料・稟議では明確に書き分けることが望まれます。

用語ミニ解説

  1. PIPL(個人情報保護法 / Personal Information Protection Law): 中国の個人情報保護法。2021年11月1日施行。個人情報の処理・越境移転・主体の権利を規定。GDPRと並ぶ世界の主要個人情報保護法令の1つ。
  2. DSL(データ安全法 / Data Security Law): 中国のデータ全般を対象とする基本法。2021年9月1日施行。データ分類・重要データ・国家安全审查・外国当局対応制限(第36条)等を規定。
  3. 重要データ: DSL第21条に基づく概念で、国家安全・経済運行・社会安定・公共衛生・公共利益に関わるデータ。具体的範囲は業種ガイドラインで確定。越境移転は件数を問わず安全評価が必須。
  4. 安全評価(Security Assessment): PIPL第40条・DSL等に基づくCAC審査。CIIO・重要データ移転・一定件数以上の個人情報移転で必須。標準審査期間は60営業日。
  5. 標準契約(Standard Contract): PIPLの越境移転メカニズムの1つ。2023年6月1日施行の「個人情報越境標準契約弁法」に基づくCAC指定の契約雛形を使用し、CACへの届出が必要。GDPRのSCCに相当。
  6. PIPIA(個人情報保護影響評価 / Personal Information Protection Impact Assessment): PIPL第55条で求められる事前評価。越境移転・機微個人情報処理・自動意思決定等で実施義務。第56条に基づき記録を3年間保存。
  7. CSL(ネットワーク安全法 / Cybersecurity Law): 中国のサイバーセキュリティ基礎法。2017年6月1日施行。CIIO義務、ネットワーク運営者の協力義務(第28条)、データローカライゼーション義務(第37条)等を含む。
  8. CAC(国家互联网信息办公室 / Cyberspace Administration of China): 中国のサイバースペース所管当局。データ越境移転の安全評価・標準契約届出・認証監督を所管。
  9. CIIO(重要情報インフラ運営者 / Critical Information Infrastructure Operator): 国家安全・国民生活・公共利益に影響しうる情報インフラを運営する主体。エネルギー・金融・通信・交通等が対象。CSL・DSL・PIPLで国内保存・安全評価が義務付けられる。

編集後記

中国のデータ規制を「GDPRの亜種」として捉えると痛い目を見ます。データ主権・国家安全レイヤー・業種規制重畳・外国当局対応の制約・IRフローの制約という独自概念が積み重なっており、PIPL準拠だけで安心できる構造ではありません。中国事業を抱える企業のCISOには、法務と連携した中国法専門アドバイザーの確保、平時のIR・eDiscovery手順書への中国データ取扱い分岐の組み込み、そして「緩和報道」に飛びつく前の重要データ該当性の再判定をお勧めします。

参考リンク

コメント

タイトルとURLをコピーしました