中国個人情報保護法のポイントと日本企業が講じるべき対策

2023-02-17

1．概要

2021年11月1日に施行された「中国個人情報保護法」は、中国で個人情報の保護を包括的に規定する初めての法律です。
「サイバーセキュリティ法」や「データセキュリティ法」は、「国家安全保障」の要素が濃い法律である一方、中国個人情報保護法は個人の権利保護に重点をおいた内容となっています。
中国個人情報保護法は、そのフレームワークこそ「EU一般データ保護規則」（以下「GDPR」）をはじめとする近年の諸外国の法規制の影響を大きく受けているものの、適法性の根拠として認められる事項や、本人の権利などの詳細は独自の内容であることから、個別に考慮した対応が求められます。

違反した際には、高額な制裁（最大で5,000万元、または前年度売上の5%の罰金）が科されるリスクがあり、域外にも適用されることから、中国に対し事業を展開する日本企業は早急な対応が求められます。

2．規制対象および重要な概念

以下のいずれかの場合に該当する場合、中国個人情報保護法の規制対象となり得ます。特に中国を対象に越境ECや輸出入事業、中国居住者向けのマーケティング・ウェブコンテンツの配信などを行っている企業は、中国国外での取り扱いであっても同法の適用となる可能性が高いため、注意が必要です。

中国国内の個人に対して商品またはサービスを提供することを目的とする場合
中国国内の個人の行為を分析、評価することを目的とする場合
法令が定めるその他の場合

3．中国個人情報保護法の主な内容

1）適法な取り扱い

企業は、中国個人情報保護法で定められた適法性の根拠のいずれかに該当する場合にのみ、個人情報を取り扱うことが可能です。適法性の根拠には、「本人同意」「契約の履行」「法定義務の履行」「公衆衛生」「公共の利益」「公表された個人情報の処理」「法令等に定めるその他の事情」の7つが定められていますが、GDPRで定められる「正当な利益」は含まれていません。GDPRと比較すると、「本人同意」を根拠として個人情報を取り扱わなければならない場面が多くなることが想定されます。
「本人同意」を根拠とする場合、その同意は、本人がいつでも容易に撤回できるものでなくてはならないとされています。同意の撤回方法を容易に見つけることが困難な場所で案内するなど、撤回を妨げるようなUIを提供している場合は、中国個人情報保護法に抵触する可能性があるため、注意が必要です。

2）本人への情報提供

企業は、個人情報を取り扱う前に、その内容に関して中国個人情報保護法で求められる事項を、明確かつ分かりやすい言葉で本人に通知しなければなりません。通知すべき項目は、取り扱いの目的だけではなく、処理の方法、個人情報の種類や保管期間、権利行使の方法や手順など、日本の個人情報保護法（以下「日本法」）と比較すると、より詳細な情報の提供が求められます。

3）委託先の管理・監督、共同利用

個人情報の取り扱いを委託する場合、委託先との間で処理目的、期限、処理方法、保護措置などについて、委託契約などにおいて合意しておく必要があります。また同時に、委託処理に関する監督責任を負うことになります。
加えて、日本法で定められる「共同利用」のような概念も認められるため、他の企業と共同で個人情報を取り扱う場合は委託の場合と同様に、事前に個人情報を取り扱う目的や方法、双方の権利義務について合意しなければなりません。

4) 越境移転

中国国内で収集した個人情報を越境移転する場合、以下の①②の対応が求められます。

①本人への必要事項の通知と同意の取得

個人情報の提供先の名称、連絡先、処理目的、処理方法、個人情報の種類、および個人が提供先に対し権利を行使する方法、手続きなどを通知した上で、本人の同意を個別に取得しなければなりません。

②以下のいずれかの措置の実施

a. 国家の安全評価に合格した場合
b. 専門機構による個人情報保護の認証を得ている場合
c. 標準契約に基づいて、域外の提供先と契約を締結した場合
d. 国家インターネット情報部門が規定するその他の条件を満たした場合

移転する個人情報の内容によっては、国家の安全評価が必須となります。「データ国外移転安全評価弁法」（2022年9月1日施行）に従い、まずは国家の安全評価の要否を確認した上で、講じるべき措置の選択が必要です。

5）本人の権利

中国個人情報保護法は本人に対し、知る権利、閲覧権、複製権、撤回権、ポータビリティ、訂正権、削除権などの各種権利を認めています。また、GDPRでは認められていない「死者の権利」も認められています。本人が死亡した場合、その近親者が死者に代わってその権利を行使できるので、注意が必要です。

6）保護措置、監査およびインシデント報告

個人情報の漏洩を防止するため、企業には内部規程の策定、機密度に応じた分類管理、必要に応じた暗号化、仮名化などの実施、従業員教育の実施、インシデントレスポンスプロセスの策定など、ISMS（情報セキュリティマネジメントシステム）で要求される事項と同様の対応が求められます。
安全管理措置については、サイバーセキュリティ法やデータセキュリティ法でもそれぞれ規定されていることから、3法の要件を整理し、講じるべき対策を確認しなければなりません。

7）DPOの任命、代表者の設置

企業は、取り扱う個人情報の件数が一定数量に達した場合、DPO（データ保護責任者）の任命が義務付けられます。また、域外適用の対象となる企業は、中国国内に代表者を設置し、名称、連絡先などを主管当局に届け出なければなりません。

8）個人情報保護影響評価の実施

企業は、以下のいずれかに当てはまる場合、個人情報保護影響評価の実施が求められます。

①センシティブ情報を取り扱う場合
②自動化された意思決定を行う場合
③個人情報の取り扱いを委託する場合、または個人情報を第三者に提供する場合
④国外に個人情報を移転する場合
⑤個人の権利および利益に重大な影響を与える場合

9）違反行為に対する罰則

中国個人情報保護法は、その違反行為に対し、厳格な処罰規定を設けています。サイバーセキュリティ法やデータセキュリティ法と同様に、企業だけでなくその責任者に対しても罰則が科されるリスクがあるため、注意しなければなりません。
法人に対しては、最大で5,000万元または前年度の売上高の5%の罰金が科されるだけではなく、事業の停止や事業許可の取り消しが命じられる場合もあります。

4．日本企業が講じるべき対策とは何か

中国個人情報保護法の一部の下位規制は未施行の状態ではあるものの、既に同法の違反となり、制裁を科されている事例もあります。そのため、同法が適用される企業は、対応可能な事項から速やか遵守態勢を整備していかなければなりません。

以下は、同法の対応に向けた進め方の例です。

1）社内体制・規程の見直し

中国個人情報保護法の対応を現地法人任せにしている日本企業が散見されますが、本社として最低限のモニタリングを実施すべきです。本社と現地法人の役割をきちんと明確化した上で、同法を遵守するための体制（DPOや代理人の設置を含む）を整備しなければなりません。体制の整備が完了した後には、各人の役割を反映させた規程を策定する必要があります。単に法令要件を反映させた規程を策定するたけではなく、法令に知見のない従業員でも実行可能な運用を整備することが、コンプライアンス維持において重要です。

2）データマッピングの実施

他国の個人情報保護法対応と同様に、データマッピングによるリスクの可視化は不可欠です。日本と中国の間でどのようなデータが移転されていて、どこに保管されているのかなど、委託先や第三者へのデータの提供状況を確認することで、各データ処理において必要な対応の洗い出しや、リスクの所在の明確化が可能です。データマッピングにより、現場で見落としている法対応を2線や2.5線の部門が把握し、是正することもできます。

特にグループ会社の多い企業や、BtoC事業などにより個人情報を多く保有する企業にとっては、負荷の高い作業ではありますが、制裁リスクを低減させるためには、最も重要な事項と言っても過言ではありません。

昨今では、データマッピングシステムを導入することで、従来の表計算ソフトによる管理から脱却し、効率化を図る企業も増えつつあります。自社の状況を勘案し、より効率良く正確な情報を把握できる方法にて実施すると良いでしょう。

3）新たな規程・データマッピング結果を踏まえた各種対応の実行

1）で策定した規程・運用、2）のデータマッピングにより洗い出したデータを踏まえ、必要な対応を整理します。主な対応事項は以下のとおりです。

① 通知・同意の見直し
② 越境移転への対応
③ 委託先への対応
④ 個人情報保護影響評価の実施
⑤ 安全管理措置の見直し

上記の5つの観点から現在の運用を見直すことは重要ですが、組織として恒常的に法律対応を講じることができる体制を整える必要があります。

また、2）のデータマッピングと3）の各種対応は、一度実行して終わりというわけではありません。少なくとも年に1回程度の頻度で定期的に実施し、現場の運用を確認および把握することが重要です。

まとめ

グローバルで事業を展開する企業にとっては、各国・地域が相次いで法令を制定・改訂することにより、社内の体制や規程を幾度となく見直すなど、際限のない対応に迫られていることでしょう。本社としてどこまで関与すべきかの判断は、国・地域ごとに緩急を付けるべきですが、多くの企業にとって中国データ関連法規制（サイバーセキュリティ法、データセキュリティ法、個人情報保護法）は、市場の重要度や規制の厳格度の観点から、決して見過ごすことのできない法令だと推察します。

当該法規制が足かせとなり、グローバルシステムの中国展開が停滞しているような状況も散見されます。中国データ関連法規制への対応を推進する部門が、情報システムやDX担当部門、現場部門のストッパーとなるのではなく、法律の内容を勘案した上でどのようにビジネス推進していくのか、伴走しながら検討を進めることが重要です。その上で、経営層が当該法規制対応の重要性・リスクを把握し、社内全体の指揮を執ってプライバシー保護を推進していくことが不可欠です。

主要メンバー

高澤真理

シニアマネージャー, PwCコンサルティング合同会社

エレドンビリゲ

マネージャー, PwCコンサルティング合同会社

中国におけるサイバーセキュリティ、データセキュリティ関連の重要な法令解説

7 results

2025-03-17

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

2023-02-17

中国個人情報保護法のポイントと日本企業が講じるべき対策

2021年11月1日に施行された「中国個人情報保護法」は、中国で個人情報の保護を包括的に規定する初めての法律です。違反した際には、高額な制裁（最大で5,000万元、または前年度売上の5%の罰金）が科されるリスクがあり、域外にも適用されることから、中国に対し事業を展開する日本企業は早急な対応が求められます。

2022-09-02

中国データセキュリティ法のポイントと日本企業が講じるべき対策

2021年9月1日から施行された中国データセキュリティ法は国家安全保障における重要な法令として位置づけられています。本稿では、データセキュリティ法の概要、および日本企業が取り組むべき対策についてご紹介します。

2022-05-16

中国サイバーセキュリティ法のポイントと日本企業が講じるべき対策

本稿では、中国サイバーセキュリティ法におけるいくつかの重要な定義と主な内容を整理したうえ、日本企業が講じるべき対策について考えます。

プライバシー法規制のトレンドと企業に求められる対応

46 results

2025-04-08

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

2025-04-04

各国サイバーセキュリティ法令・政策動向シリーズ（4）メキシコ

2025-04-03

各国サイバーセキュリティ法令・政策動向シリーズ（3）シンガポール

2025-03-25

金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係

欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。

本件に関する

お問い合わせ

中国個人情報保護法のポイントと日本企業が講じるべき対策

1．概要

2．規制対象および重要な概念