知っててよかった 現地編

中国データセキュリティ法の概要と日本企業への影響を解説

2024.9.9 更新

近年、データの価値が高まる中で、その保護と適切な取り扱いが重要な課題となっています。中国においても、データセキュリティ確保の必要性や国際標準化への要求が高まり、2021年9月1日に「データセキュリティ法」が全面施行されました。

中国のデータセキュリティ法は、データの合法的な利用に加えて「国家安全」の目的が強調されている点が特徴です。

同法では、中国においてデータを取り扱う活動に従事する組織を対象に、データの分類と保護、データセキュリティ管理体制の整備、国外へのデータ移転の規制などを定め、データの最終的な管理責任者を政府の担当部門としています。

中国でビジネスを展開する日本企業も、この法律の影響は避けられません。

Rubrik, Inc.の調査[1]によると、62%の日本企業が、内部の人物による企業のデータポリシーに反するデータアクセスの可能性があると回答しています。データの適切な管理と保護対策を講じることが必須となり、法令順守に向けた対応が求められています。

中国の法改正解説ウェビナー無料アーカイブ配信

1. 中国のデータセキュリティ法の概要

中国データセキュリティ法は、データセキュリティ確保、国家安全や公共利益などに関わる重要データの管理などを目的として2021年9月1日に施行されました。データの不正利用や漏えいなどのリスクに対処するため、データの収集や保存、使用、提供など、データを取り扱う行為全般を対象にしています。

中国データセキュリティ法の適用範囲は以下の通りです。

対象内容
地理的範囲中国国内および国外(域外適用あり)
データ範囲中国国内で収集・生成されたデータ
データ種別電子およびその他の媒体に記録されたデータ

データの適切な保護や管理が急務となる中、同法は企業や組織に対してデータセキュリティ管理体制の整備を義務付けています。データの重要度に応じた保護措置が求められる他、重要データの国外移転には事前に手続きが必要となります。

中国のデータ三法(サイバー三法)とは?概要と罰則を解説

1-1. データセキュリティ法制定の背景と目的

中国政府は、急速なデジタル化の進展に伴い、データセキュリティ上の重大なリスクに直面しています。近年、個人情報や機密データの漏えいなど、データセキュリティを巡る問題が相次いでいます。

このような状況を受けて、中国政府はデータの効果的な保護と活用の両立を目指し、2021年9月1日にデータセキュリティ法を施行しました。この法律は、以下の3点を主な目的としています。

  1. 国家の安全と公共利益の保護
  2. 個人や組織の合法的権益の保護
  3. データセキュリティに関する制度と基準の確立

つまり、国家安全保障とデータ主権の観点から、データの保護と適正な活用のルールを定めることが目的です。中国が今後もデジタル産業の発展を続けていく上で、この法律は重要な指針となると見られています。

1-2. データセキュリティ法の適用範囲と対象データ

中国データセキュリティ法は、中国国内でデータを取り扱う場合、および中国国外で中国に対して影響を与えるデータを取り扱う場合に適用されます。対象となるデータは、以下の3つに大別されます。

データ分類定義
核心データ国家の安全や経済、国民生活、重要な公共利益などに関わるデータ
重要データ改ざん、破壊、漏えい、不正取得・利用された場合、国家の安全、公共利益を脅かす恐れがあるデータ
一般データ上記以外のデータ

「重要データ」と「核心データ」については、移転や保管の際に厳しい要件を課されます。データの種類に応じた適切な管理が求められるため、企業はガイドラインなどに基づきデータの識別を行う必要があります。

2. 中国データセキュリティ法の主な内容

中国データセキュリティ法では、データを核心データ、重要データ、一般データに分類し、それぞれに応じた保護措置を求めています。

データ分類保護措置の概要
核心データ重要データ以上の厳格な保護措置が必要
重要データ暗号化やアクセス制限、定期的なリスク評価など、重点的に保護することが求められる
一般データデータ取り扱いの原則規定に基づいた保護措置が必要

企業は自社が取り扱うデータを適切に分類し、それぞれに規定された保護措置を講じる必要があります。また、中国政府によりデータ取り扱い活動が国家安全に影響を与え得ると判断された場合は、国家安全審査を受けなければなりません。

重要データを取り扱う企業には、より高度なデータセキュリティ管理体制の整備が義務付けられています。さらに、重要データの国外移転については、移転先の法制度や保護水準を考慮した上で、中国政府当局の安全評価に合格する必要があります。

法令違反があった場合、罰金や営業停止、許可証の取り消しなどが科される可能性があります。

2-1. データセキュリティ管理体制の整備

中国データセキュリティ法では、データを取り扱う個人・企業に対してデータセキュリティ管理体制の整備を義務付けています。具体的には以下のような内容です。

  • リスク監視の強化
  • データセキュリティ教育の実施
  • データセキュリティ責任者の選任と管理部署の明確化
  • リスク評価の実施

このように、中国データセキュリティ法ではデータガバナンスの強化が企業に求められており、管理体制の構築が重要となります。

2-2. データの国外移転に対する規制

中国のデータ三法(サイバーセキュリティ法、データセキュリティ法、個人情報保護法)では、それぞれにデータの国外移転についての制限を設けています。

実際の運用については、2024年3月に手続きの免除要件を示した「データの越境移動の促進と規範化に関する規定」が、国家インターネット情報弁公室より公布、施行されました。

この規定では、外資系企業にとって壁となっていた厳しい届け出基準が緩和、手続きも簡素化され、中国への投資を促進したい政府の意図がうかがえます。

制限は緩和されたものの、重要データおよび個人情報を中国国外に移転する場合には、これらの法令に基づいて手続きを進めることになります。

重要データおよび個人情報の国外移転で必要となる手続きの判断基準として、まず、その企業が重要情報インフラ運営者(Critical Information Infrastructure Operator:CIIO)か否かが問われます。重要情報インフラ運営者に該当する場合は、安全評価の申告が必要です。

重要情報インフラ運営者に該当しない場合は、データの種類や量などによって対応が異なります。

重要データ

国内保存が原則ですが、中国政府当局による安全評価に合格した場合は国外移転が認められます

データの越境移動の促進と規範化に関する規定によると、国外移転の規制対象となる重要データは関連部門または地域から告知されたものに限られます。例えば、「工業・情報化分野データ安全管理弁法」などが重要データの内容を規定しています。

告知されていないデータについては、安全評価を申告する必要はありません。

個人情報

個人情報保護法により、個人情報の国外移転は以下の要件を満たす必要があります。

  • 前提条件の充足(中国政府当局による安全評価への合格、専門機関による個人情報保護認証の取得、当事者間の標準契約の締結・届け出のいずれか)
  • 本人への告知と同意の取得
  • 個人情報保護影響評価の実施

ただし、データの越境移動の促進と規範化に関する規定に基づき、一部の手続きが免除されるケースがあります。

一般的な個人情報のみの場合、移転するデータ量が年間10万人分未満であれば、上記要件の「前提条件の充足」が免除されます。また、法に準拠した労働協約を締結しており、該当従業員の管理に必要な個人情報を国外移転する場合も「前提条件の充足」は不要です。

機微な個人情報の場合は、移転するデータ量が年間1万人分未満であれば安全評価は不要となり、個人情報保護認証の取得か標準契約の締結・届け出で済みます。

このように、データの国外移転についてはデータの種類や量に応じて要件が異なり、手続きに関するさまざまな免除要件もあります。企業は対象となるデータを正確に把握し、適切な手続きを経ることが重要です。

2-3. 国家安全審査制度

中国データセキュリティ法では、国家安全に影響を与え得るデータ取り扱い活動を対象に国家安全審査を実施することが定められています。なお、オンラインでのデータ取り扱い活動だけでなく、オフラインで取り扱う場合も含まれます。

国家安全審査では、核心データ・重要データ・大量の個人情報において主に以下のような要素が審査されます。

  • 窃取、漏えい、破損、不正に利用または国外移転されるリスク
  • 中国国外の政府によって影響を及ぼされたり、制御または悪意を持って利用されたりするリスク

中国データセキュリティ法にのっとって実施された国家安全審査の決定は最終的なものとされ、異議を申し立てることはできません。

3. 中国データセキュリティ法の罰則

中国データセキュリティ法は、法令違反に対して厳しい処罰を定めています。まず、データの国外移転に関する規定に違反した場合、以下の処分が課されます。

違反行為処罰内容
規定の手続きを経ない重要データの国外移転・是正命令、警告
・10万~100万人民元の罰金
・直接責任者などに対する1万~10万人民元の罰金
【重大または悪質な違反の場合】
・100万~1千万人民元の罰金
・関連業務の一時停止、営業停止、関連業務許可証または営業許可証の取り消し
・直接責任者などに対する10万~100万人民元の罰金

また、その他の違反行為に対しても、以下のような処罰が課されます。

  • 是正命令、警告
  • 罰金
  • 関連業務の一時停止、営業停止、関連業務許可証や営業許可証の取り消し

なお、違反行為が犯罪に該当する場合は刑事責任も追及されます。

データセキュリティ対策を怠った企業は、事業そのものに重大な影響が及ぶ可能性があり、十分な注意が必要です。

4. 日本企業の対応策

中国データセキュリティ法の施行により、中国で事業を展開する日本企業が講じるべき対応策をまとめました。

4-1. データマッピングと分類の実施

企業は、中国データセキュリティ法の順守に向けて、まず自社が保有する全てのデータを把握し、データマッピングを行う必要があります。保有データの種類、場所、移転先などを確認した上で、以下の3つにデータを分類します。

データ分類説明
核心データ・国家の安全や経済、国民生活、重要な公共利益などに関わるデータ
・重要データ以上の厳格な保護措置が必要
重要データ・改ざん、破壊、漏えい、不正取得・利用された場合、国家の安全、公共利益を脅かす恐れがあるデータ、および関連部門・地域から重要データとして告知されたデータ
・暗号化やアクセス制限、定期的なリスク評価など、重点的に保護することが求められる
一般データ・上記以外のデータ ・データ取り扱いの原則規定に基づいた保護措置が必要

データの内容に応じて適切に分類し、それぞれに応じた保護措置を講じる必要があります。例えば重要データについては、データの暗号化やアクセス制限など、高度なセキュリティ対策が求められます。

一度データ分類を実施して終了ではなく、新たなデータの取得や利用目的の変更などに応じて、定期的に見直すことが重要です。適切なデータマッピングと分類を行うことが、中国データセキュリティ法順守の第一歩となります。

4-2. データセキュリティ管理体制の構築

中国データセキュリティ法では、企業がデータセキュリティ管理体制を整備することが義務付けられています。具体的には以下の対応が求められます。

リスク監視の強化

企業はデータの収集、保存、使用、移転、提供、削除などデータ取り扱い活動全体のリスク監視を強化しなければなりません。リスク発見時やセキュリティインシデント発生時には、速やかに適切な対応を講じる必要があります。

データセキュリティ教育の実施

法令順守を徹底するため、従業員に対して定期的なデータセキュリティ教育を行うことが求められます。

データセキュリティ責任者の選任と管理部署の明確化

重要データを取り扱う企業では、データセキュリティ責任者の選任と管理部署の確定を行い、関連する権限や責任を明確にする必要があります。

リスク評価の実施

重要データを取り扱う場合は、リスク評価を毎年実施し、関係する所管機関に報告書を提出する必要があります。

このようにデータセキュリティ管理体制を適切に構築することが、中国データセキュリティ法順守の要件となっています。データの取り扱いプロセスを可視化し、PDCA( Plan計画〉、Do〈実行〉、Check〈評価〉、Action〈改善〉) サイクルを回して継続的に体制の改善を図りましょう。

4-3. セキュリティ対策の強化とリスク評価

中国データセキュリティ法では、規定に基づいてデータを取り扱うために、相応の技術的措置およびその他の必要な措置を講じるよう求めています。例えば、以下のようなセキュリティ対策が考えられます。

対策例具体的な内容
技術的対策・アクセス制御、暗号化の導入
・ネットワークの分割、監視強化
管理的対策・データ取り扱い規程の整備
・従業員教育の実施
物理的対策・施設の入退出管理強化
・データセンターの災害対策

セキュリティ対策の実施状況については、定期的に評価・見直しを行い、セキュリティ水準の向上に取り組む必要があります。

また、重要データを取り扱う企業は、毎年リスク評価を実施することが義務付けられています。データの種類や数量、収集・保存・加工・使用の状況、データセキュリティのリスクおよび対応措置などを踏まえて評価し、その報告書を関係所管機関へ提出しなければなりません。

4-4. データの国外移転ルールの順守

中国データセキュリティ法により、重要データの国外移転については事前に中国政府当局による安全評価への合格が必要となります。

また、個人情報の国外移転時には、データの越境移動の促進と規範化に関する規定の手続きに関する免除要件に該当しない場合において、中国政府当局による安全評価への合格など、法令で定められた手続きを確実に実施しなければなりません。

企業はデータマッピングと分類を行い、データの性質に応じて移転ルールを順守する必要があります。

4-5. 従業員教育と定期的な見直し

中国データセキュリティ法の順守には、従業員への教育が不可欠です。従業員一人一人がデータセキュリティの重要性とデータの適切な取り扱い方を理解していなければ、法令順守は困難になるでしょう。そのため、中国事業を行う日本企業は以下の取り組みが求められます。

データセキュリティに関する従業員研修

  • データ分類と取り扱いルール
  • インシデント発生時の対応手順
  • 法令違反時の制裁措置

定期的なフォローアップと教育

  • 最新の法改正への対応
  • 従業員のデータリテラシー向上

役職者向けの特別教育

  • データセキュリティ責任者への専門教育
  • 経営層へのリスク認識の啓発

また、中国政府当局による立ち入り検査や是正命令などに備え、以下の見直し作業も欠かせません。

見直し項目内容
ポリシー・規程法令順守状況の調査と改訂
システム・装置セキュリティ対策の有効性検証
契約書・同意書データ取り扱い規定との整合性確認

このように、従業員教育と管理体制の定期的な見直しを通じて、データセキュリティ対策を着実に実行することが重要です。

5. 中国事業への影響と対応の重要性

中国データセキュリティ法は、厳格なデータ管理とセキュリティ対策の実施を求めており、違反した場合は高額の罰金や営業停止処分などの厳しい処罰が科されます。

中国データセキュリティ法を順守するために、企業は以下の対応が求められます。

  • データマッピングと分類の実施
  • データセキュリティ管理体制の構築
  • セキュリティ対策の強化とリスク評価
  • データの国外移転ルールの順守
  • 従業員教育と定期的な見直し

これらの対応を怠れば、事業継続が困難になる可能性があります。中国事業の存続のためにも、同法の順守は必須といえるでしょう。

  • JETRO「中国の経済安全保障に関する制度情報」(2024年4月更新),https://www.jetro.go.jp/ext_images/_Reports/01/690307ed2a411652/20240004_03.pdf (閲覧日:2024年8月8日)
  • JETRO「中国のデータ・個人情報の域外移転規制の最新動向」(2024年3月時点), https://www.jetro.go.jp/ext_images/_Reports/01/690307ed2a411652/20240004_02.pdf (閲覧日:2024年8月8日)
  • JETRO「2022 年サイバーセキュリティおよびデータ保護に関する主要な法令の調査報告書」(2023年3月),https://www.jetro.go.jp/ext_images/world/asia/cn/tohoku/pdf/labor_020.pdf (閲覧日:2024年8月8日)
  • JETRO「データセキュリティー法対応における企業の留意点」(2022年3月),https://www.jetro.go.jp/ext_images/world/asia/cn/tohoku/pdf/labor_018.pdf (閲覧日:2024年8月8日)
  • JETRO「「データセキュリティ法」の概要~中国の安全保障貿易管理に関する制度情報専門家による政策解説~」(2021年12月),https://www.jetro.go.jp/ext_images/_Reports/01/580a6448fa87f0bb/20210056_04.pdf (閲覧日:2024年8月8日)
  • JETRO「中国におけるサイバーセキュリティー、データセキュリティーおよび個人情報保護の法規制にかかわる対策マニュアル」(2021年11月), https://www.jetro.go.jp/ext_images/_Reports/02/0c080037fe572f0d/202111.pdf(閲覧日:2024年8月8日)
  • 中国人民代表大会「中华人民共和国数据安全法」(2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过),http://www.npc.gov.cn/npc/c2/c30834/202106/t20210610_311888.html (閲覧日:2024年8月8日)
  • 中华人民共和国国家互联网信息办公室「促进和规范数据跨境流动规定」(2024年3月22日),https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm(閲覧日:2024年8月8日)
  • 中华人民共和国国家互联网信息办公室「数据出境安全评估办法」(2022年7月7日), https://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm(閲覧日:2024年8月8日)

[1] Rubrik Zero Labs「The State of Data Security: The Journey to Secure an Uncertain Future」,P11,https://www.rubrik.com/content/dam/rubrik/ja/resources/report-review/rpt-rzl-journey-to-secure-an-uncertain-future.pdf (閲覧日:2024年8月8日)

中国赴任者向けメールマガジン

現地の教育事情や生活のお役立ち情報などをお届け

ライトワークスでは、中国赴任者・赴任予定者・出張者など中国ビジネスに関わる方向けに、「明日から組織に使えるtips」をテーマとして、中国現地の教育事情や生活のお役立ち情報など定期的にメルマガ配信を行っています。

プライバシーポリシーをご確認いただき「個人情報の取り扱いについて」へご同意の上、「メルマガ登録」ボタンを押してください。

無料eBook

中国赴任準備はこれで完璧!
赴任準備マニュアル

事前の準備から現地の作法まで徹底解説

現地駐留歴7年のスタッフがまとめた渾身の一冊。
快適な中国ライフを送るための準備はこれで完璧!

なるほど!中国赴任
準備

赴任が決まってから出発までに具体的にどのような準備をすればよいでしょうか。直前になって慌てたり、現地に到着してから困ったりすることのないように、これらの記事を参考に万全の準備を整えてください!

知っててよかった
現地

法律や文化、商習慣などが異なる中国では、現地についてからも戸惑う場面があるかもしれません。それに備えて、こちらの記事で事前に情報をインプットしておくことをオススメします!