整備の進む中国のデータ規制 日系企業は越境移転規制に注目
中国では2017年のサイバーセキュリティ法施行を皮切りに、2021年にはデータセキュリティ法と個人情報保護法が施行され、その後も関連する法令やガイドラインが続々と施行・公表されるなど、データに関する法制度の整備が着々と進みつつある。これらの法令が規制の対象としているのは個人情報や国家安全保障に影響を及ぼす“中核データ”や“重要データ”であり、中国でそれらを取り扱う場合にはさまざまな要件を満たすことが求められる。特にデータの越境移転に関しては厳しい規制が敷かれており、一定の要件を充足する場合は、特別な手続(データ越境安全評価の申告、個人情報越境標準契約の締結、個人情報保護認証の取得)を履行することが義務づけられている。これらの手続に関しては、2024年に施行された「データ越境流通の促進および規範化に関する規定」(国家ネットワーク情報弁公室令第16号)において免除要件が定められるなど、規制緩和の兆しも見られる一方で、いまだ既存の法令には説明不足の部分が少なくなく、附属法規や規制の根拠となるリスト等の制定も続いており、中国のデータ規制は基盤が整いつつも、ますます複雑さを増している。
こうした複雑な中国のデータ規制への対応に悩む外国企業は多い。45年以上の長きにわたって中国社会の最前線で数々の渉外業務を手がけてきた環球法律事務所にも、日本企業や在中日系企業から中国のデータ規制に関する多くの問い合わせが寄せられている。同事務所にはデータコンプライアンスに精通した弁護士が数十名在籍し、日々クライアントからの相談に対応しているが、昨今増えているのが、「中国のデータ規制は複雑なうえ、頻繁にアップデートがあるので、全容の把握が難しい。最新の動向だけでも教えてほしい」という問い合わせだという。同事務所のデータコンプライアンスチームのパートナーである孟潔中国弁護士と、日本業務チームの責任者を務める劉淑珺中国弁護士は次のように語る。
「確かに、中国のデータ規制は頻繁に更新があるので、外国企業は最新動向を追うだけでも一苦労です。昨今の注目すべき動きとして、中国国家データ局から、データ越境移転に際して必要となる安全評価手続と個人情報越境標準契約の届出手続に関する統計データが公表されました。同局によると、2024年12月時点で、国家インターネット情報弁公室は285件の安全評価プロジェクトを完了しており、そのうち不合格となったものは27件で、全体の10%未満にとどまっています。また、個人情報越境標準契約の届出受理件数も1,071件に上りました。今後は、自動車、金融、医薬、民間航空などの業界分野で、それぞれ業種別のデータ越境規制ガイドラインが順次発表される見込みであり、各業界の企業がよりスムーズにデータの越境移転を進められるようになると考えられています。また、2025年4月には、国家コンピュータウイルス緊急対応センターの公式サイトで、二つのアプリがユーザーへの十分な説明と同意取得を行わずにデータを中国国外へ送信していたことが指摘されています。現在、中国ではアプリの取締りが活発に行われており、今後は“アプリにおいてデータ越境移転が適法になされているか”が、当局による重点的な監視対象になっていくと予測されます」(孟中国弁護士、劉淑珺中国弁護士)。
「日系クライアントから寄せられる質問の中で最も多いのは、やはりデータの越境移転に関するものです。日本企業では、中国法人からグループ内の海外拠点へ従業員データや業務データを送信したり、中国国外からアクセスしたりするケースが珍しくありません。これらのケースをはじめとする越境移転の場面では、中国法人と海外拠点の間で一連の対応をとる必要があります。第一に、データ越境移転の具体的なシチュエーションを整理すること。第二に、越境移転するデータの性質や量等をもとに、越境移転に関する特別手続の免除要件に該当するか否かを確認し、該当しない場合にはどのような特別手続が必要になるのかを判断すること。第三に、データ越境移転に先立って、“個人情報保護影響評価”を行い報告書を作成するとともに、個人情報の取扱記録を残すこと。第四に、同じくデータ越境移転に先立ち関係する個人情報主体に対して十分な説明を行い、個別の同意を取得すること。そして最後に、必要な技術的安全保障措置を講じることが求められます」(劉淑珺中国弁護士)。
(左より)孟 潔 中国弁護士、劉 淑珺 中国弁護士、李 玲 中国弁護士
取扱いにあたり特に注意を要する“機微な個人情報”
日本の個人情報保護法では、個人情報の中でも特に取扱いに配慮を要するものとして“要配慮個人情報”という概念を置いているが、中国の個人情報保護法においても、これに類似する“機微な個人情報”という概念が存在し、“漏洩し、または不法使用されると、自然人の人格・尊厳が侵害され、または人身、財産の安全が脅かされることを容易に招く個人情報”と定義されている。中国では、機微な個人情報の取扱いに関してより厳格な義務が課されており、たとえば事前に個別の同意を取得すること、関連する安全保護措置を講じること、越境移転する場合には特定の手続をとることなどが求められている。2024年9月に発表された「サイバーセキュリティ標準実践ガイドライン—機微な個人情報識別ガイドライン」では、機微な個人情報の識別に関する具体的な指針を提供している。また、2025年5月には、上記の指針を更新・補完する「データセキュリティ技術 機微な個人情報の取扱いに関するセキュリティ要件」が発表されている。
「同セキュリティ要件では、機微な情報の分類体系を見直し、「情報安全技術 個人情報安全規範」(GB/T 35273-2020)の定める従来の分類方法を踏襲せず、個人情報保護法との整合性を図る形で、生体認証情報、宗教・信仰に関する情報、特定身分に関する情報、医療・健康情報、金融口座情報、移動履歴情報、14歳未満の未成年者の個人情報、その他機微な個人情報の八つに分類しています。そのうえで、さらに上記のカテゴリごとに機微な個人情報の具体例を示すとともに、各カテゴリに対応したセキュリティ管理要件を提示しており、個人情報保護のための実用的な指針を提供しています」(劉展中国弁護士)。
個人情報を違法に取り扱うアプリ等の取締りが強化
現代社会において、個人情報の取扱いはさまざまなシーンで行われているが、最も頻度が高いのはアプリによるユーザー個人情報の取得だろう。そうした背景もあって、中国の法執行機関は昨今、個人情報を違法に取り扱うアプリの取締りを強化している。具体的な動きとしては、2025年3月28日、中国の国家インターネット情報弁公室、工業情報化部、公安部、市場監督管理総局の4部門が「2025年個人情報保護に関する一連の特別取締キャンペーンに関する公告」を共同発表し、2019年以来6年ぶりに4部門共同でのアプリ取締りに乗り出した。その結果、2025年の第一四半期だけで20以上のアプリがストアから削除され、900以上のアプリが是正命令を受けた。
「2025年上半期のアプリ関連の取締りには、一定の傾向が見られました。1点目は、取締りが以前より強化されていることです。複数の部門が連携して取締りを行っており、アプリの削除や是正命令の頻度が以前よりも明らかに高まっています。2点目は、取締りの焦点が個人情報の取扱全般に拡大されたことです。2019年時点では個人情報の“収集と利用”に焦点を当てた取締りが中心でしたが、現在は保存、伝送、共有などを適切に行っていないアプリも多く取締対象となっています。3点目は、取締対象が拡大されたことです。アプリだけでなく、ミニプログラムや公式アカウント、クイックアプリなども取締対象に含まれるようになり、特にSDK(ソフトウェア開発キット)による個人情報の取得・利用に焦点が当てられています。4点目は、重点監視シーンが明示されたことです。スマート端末、公共の場での顔認証、オフラインの消費シーンなどが重点的な監視対象となっています。5点目は、個人情報侵害罪やネット犯罪幇助罪など、より重い罪に問われるケースが多くなったことです。このような動きの中で、日系企業としては、やはりこうした取締りの動向をしっかり把握したうえで、中国の個人情報保護法を軸に、組織体制・制度設計・アクセス管理・従業員教育・インシデント対応などを含む、一貫した個人情報保護のしくみを構築・運用していく必要があります」(王芸中国弁護士)。
王 芸 中国弁護士
データ漏洩などのインシデント対応の要点
近年では、ハッカーの不正アクセスなどにより、業務データや顧客データが流出するといった事態が世界中で多発している。企業においてはそういった事態の発生を防ぐことが第一に求められるが、万一何らかのセキュリティインシデント(以下「インシデント」)が発生してしまった場合、どのような対応を講じるべきかも非常に重要な問題だ。
「中国の法令では、中核データや重要データ、個人情報といったデータの類型に応じて、漏洩が生じた場合に講ずるべき対応を細かく定めています。たとえば個人情報保護法は、個人情報漏洩が発生した場合、または発生する可能性がある場合、個人情報取扱者は一連の対応をとらなければならないと定めています。具体的にいうと、まずは、内部・外部技術部門の協力を得てインシデント発生の原因を技術的側面から分析し、漏洩した、または漏洩の可能性がある個人情報の件数、規模、項目を特定することが必要となります。次に、技術部門の分析結果に基づき、これらの個人情報の漏洩、または漏洩の疑いにより関係個人に危害が及ぶ可能性や危害の程度、およびインシデントが発生した個人情報の管理制度や業務プロセスの原因を分析します。そして、今回のインシデントが管理制度や業務プロセス上の要因により発生したものかどうかを判断し、技術部門や業務部門と協力して、今回のインシデントに関するリスク対応措置および損害を最小限に抑えるための対策を決定・実行します。また、これと併せて、必要な書類を準備したうえで、関係当局に対し、一定の期限内にインシデント発生の報告を速やかに行うことも求められます。そして最後に、インシデントの影響を受けた個人への通知が必要か否かを判断のうえ、必要に応じて通知する必要があります」(王筱東中国弁護士)。
「インシデントが発生したにもかかわらず所定の期限内に関係当局へ報告しなかった場合は、法令違反として処罰が科されるおそれがあります。そのようなリスクを防ぐためには、実行性のあるインシデント対応案をあらかじめ整備しておくことが重要であり、場合によっては模擬訓練を行うことも考えられます。また、報告を受けた関係当局は是正状況等を検査し必要な行政指導を行うために、対象会社に対し立ち入り検査を実施することがよくあります。その場合、対象会社による関連法令の遵守状況も検査対象になる可能性がありますので、注意が必要です」(劉淑珺中国弁護士)。
AIに関する規制や法制度の整備も進展
日本でも繰り返し報道されているように、中国ではAI産業が急速な発展を遂げている。しかし、現在のところ、中国にはAIに関する全国レベルの統一された法律は存在せず、多くの規制的なガイドラインや国家標準、業界標準を策定することで、AI製品の開発や導入に関するルールを整備している状況にある。特に医薬品、スマートドライビング、金融といった特定の業界や、生成AIなどについては厳しい規制が敷かれ、法執行も厳格に行われている。また、“AIによる差別が引き起こされていないか”、“未成年者・高齢者に対する保護が適切になされているか”といった点が、規制当局の重点的な監視対象となっている。このため、企業としてコンプライアンスへの取り組みを示すには、リスク管理の記録をしっかり残しておくことが重要となる。
「中国の日系企業が他社の大規模言語モデル(LLM)を活用し、自社AI製品を開発する場合は、オープンソースモデルやデータのライセンスに特に注意を払う必要があります。許諾の範囲、方法、期間、特約条項などを確認し、知的財産権のトラブルを未然に防ぐことが肝心であり、加えて、第三者とAI製品の共同開発を行う場合には、共同開発契約において重要技術や製品責任の分担について定めておく必要もあります。自社でAIをトレーニングする際には、使用するデータの出所や所有権、そこから生成されたモデルの知財の帰属などについて事前に明確化しなければなりません。さらに生成AIを用いる場合は、たとえ内部利用であっても、使い方によっては“公開性があり、不特定多数のユーザーに向けられている”とみなされ、“世論誘導や社会動員能力がある”と判断される可能性があり、その場合は、「生成系人工知能サービス管理暫定弁法」に従ってアルゴリズムの届出義務や安全性に関する自己評価など、追加的な法的義務が発生することになります。また、AI製品の使用にあたっては、個人情報・重要データ・基幹データなどの機微情報の扱いや、データ越境移転の有無についても慎重な配慮が求められます」(王可中国弁護士)。
「昨今の日本企業や在中日系企業においては、中国事業の状況に応じて、中国法や実務に則ったAIリスクの識別および対応フローや注意点等をまとめた社内マニュアルを早急に整備することが求められています」(劉淑珺中国弁護士)。
(左より)劉 展 中国弁護士、王 筱東 中国弁護士、王 可 中国弁護士
データ活用の新手法―データによる現物出資
企業におけるデータの活用にはさまざまな方法があるが、昨今中国で注目を集めているのが、“データによる現物出資”だ。中国会社法や“データ20条”(「データ要素をより活用するためのデータ基本制度の構築に関する意見」(2022年12月))、「“データ要素×”3か年行動計画(2024~2026年)」では、データ資産による出資、すなわちデータで現物出資することを正式に認めている。現時点で公開されているデータ現物出資の事例はすべて中国系企業によるものだが、外資系企業・外国企業によるデータ現物出資の実施や受け入れを禁止する規定はない。データの現物出資を行う場合には、①データ所有権・利用権の確認、②データコンプライアンス審査、③資産評価と現物出資の実施、④データの伝送・引渡しの適法性確保、⑤外商投資に関する問題への対応などが必要となる。なお、現物出資するデータが中国国外に保管される場合は、中国および保管地の法令に従って適切なデータ越境移転手続をとる必要がある。
「日系企業としては、保有する消費者の行動データ、サプライチェーン情報、共有可能な業務データなどの非貨幣性資産を現物出資することで、キャッシュ投入の負担を抑えつつ、現地パートナーとの関係をより深めることができます。たとえば、小売領域で得たインサイトデータを提供し、その見返りに中国側流通チャネルの株式を得て、共同で“ターゲットマーケティング・プラットフォーム”を開発するような形が考えられます。こうすることで、データの価値を“資本価値”へと転換する動きが現実的になり、企業の一層の発展に役立てることができます」(李玲中国弁護士)。
読者からの質問(個人情報の越境移転で免除要件に該当する場合でも、越境移転に際し何らかの対応が必要か)
劉 淑珺
中国弁護士
Liu Shujun
中国人民大学、法学学士。北京大学、法学修士。中国弁護士資格保有。東京大学法学政治学研究科、法学修士。環球法律事務所北京オフィスに勤務するパートナーにして環球法律事務所日本業務チーム責任者、競争法業務チーム主要メンバー。外商投資や反商業賄賂、データコンプライアンス、労働などの分野でも経験豊富。
孟 潔
中国弁護士
Maggie Meng
北京大学、法学学士。米国テンプル大学、法学修士。中国弁護士資格保有。環球法律事務所北京オフィスに勤務するパートナーで、過去にフォーチュン500企業や他の有名法律事務所での勤務経験を有する。サイバーセキュリティ・データセキュリティ、個人情報・プライバシー保護、電子商取引、デジタル経済コンプライアンスなどの分野で豊富な経験を持つ。
李 玲
中国弁護士
Li Ling
吉林大学、法学学士。米国テュレーン大学、LLM及びSJD。中国弁護士資格及び米国ニューヨーク州弁護士資格保有。環球法律事務所北京オフィスに勤務するパートナーで、過去に他の有名法律事務所や多国籍企業での勤務経験を有する。投資及びM&A、国外投資、コンプライアンス、データ資産及びデジタル資産、ESG、脱炭素などの分野で豊富な経験を持つ。
王 筱東
中国弁護士
Vincent Wang
上海交通大学凱原法学院、法学学士。UCLA School of Law、LLM。中国弁護士資格及び米国ニューヨーク州弁護士資格保有。環球法律事務所上海オフィスに勤務するパートナーで、過去に中国本土系・外資系有名法律事務所での勤務経験を有する。通信、電子商取引、電子決済、ハイテク、サイバーセキュリティ、データ保護、データ資産管理などの分野で豊富な経験を持つ。
王 可
中国弁護士
Kevin Wang
南京大学、理学学士及び法学修士。米国テンプル大学、Ph.D。中国弁護士資格保有。環球法律事務所上海オフィスに勤務するパートナーで、過去に外資系・中国本土系有名金融機関での勤務経験を有する。コンプライアンス・リスクマネジメントに関するコンサルティング、アルゴリズム及びAIガバナンス、金融規制及び経済制裁、越境調査・紛争解決などの分野で豊富な経験を持つ。
劉 展
中国弁護士
Jerry Liu
南京大学、文学学士及び法学修士。UMKC School of Law、LLM及びJD。中国弁護士資格及び米国ニューヨーク州弁護士資格保有。環球法律事務所上海オフィスに勤務するパートナーで、過去に複数の外資系有名法律事務所での勤務経験を有する。投資及びM&A、プライベートエクイティ投資、ベンチャーキャピタル投資、コンプライアンス、政府規制、紛争解決などの分野で豊富な経験を持つ。
王 芸
中国弁護士
Wang Yi
深圳大学、法学学士及び法学修士。香港大学、デジタルトランスフォーメーション及び企業戦略修士課程修了。中国弁護士資格保有。環球法律事務所深圳オフィスに勤務するパートナーで、過去に複数の中国本土系有名法律事務所での勤務経験を有する。デジタル経済、サイバーセキュリティ、データセキュリティ、コンプライアンス、リスクマネジメント、AI、投資及びM&A、データ仲裁などの分野で豊富な経験を持つ。