PDF版はこちら →China Info JPマイツ通信 2026年1月号
2025年は、中国の情報セキュリティに関し、“整備”と“強化”の1年ともいうべき、多くの重要規定が公布や施行された年でした。本稿では、各種規定の概要と共に、2026年1月1日施行の改正サイバーセキュリティ法を取り上げ、また日系企業や日本企業にとり関心の高い“越境データの移転”の現状を含み、説明します。
1.2025年に公布・施行された情報セキュリティ関連規定
2025年は、情報セキュリティに関わる各種規定の公布・施行により、一段の整備が進みました。
一方で、後述のサイバーセキュリティ改正法(以下“サイバー改正法”と表記)や、越境データの取扱いに係る制裁措置が反外国制裁法実施規定(後述)にて適用が明示されるなど、中国における情報セキュリティに関する強化が進められた1年と言えるでしょう。主要な規定及び概要は以下の通りです。
| 名称 | 公布日/施行日 | 概要 |
| ネットワークデータ 安全管理条例[i] |
2024/9/30 (公布)
2025/1/1 (施行)
|
個人情報や重要データ、また越境データの移転等に関して規定。
データ三法等を補完する位置づけのもの。
|
| 顔認識技術応用 安全管理弁法[ii] |
2025/3/13 (公布)
2025/6/1 (施行)
|
顔認識技術を用いた情報処理に関し、主として個人情報処理業者等に対する規制や処理方法を定めたもの。 |
|
反外国制裁法の
実施規定[iii]
|
2025/3/23 (公布)
2025/3/23 (施行)
|
反外国制裁法の実施の為の補充規定。同法に抵触した場合に採られる必要な措置に、海外からのデータや個人情報の受領または提供を禁止 または制限等が含まれるなど、データ関連の制限を明示。 |
| サイバー改正法[iv] |
2025/10/28 (公布)
2026/1/1 (施行)
|
詳細下述。 |
2.サイバー改正法(2025年10月28日公布・2026年1月1日改正施行)
2017年6月、現行サイバーセキュリティ法[v]が施行されました。同法は、データ三法の最も早期に制定且つ最たる規定であり、ネットワーク空間における国家安全保障の観点や情報化社会の健全な秩序の構築等を目指し制定されました。しかし、個人情報の取扱いやデータ越境移転に係る条項もあり、公布時には日系企業/日本本社を含み、物議を醸しました。その後、データセキュリティ法[vi]、個人情報保護法[vii](これらを総称し“データ三法”と表記)を始めとした、関連規定が相次いで公布・施行されています。
このような状況下、2026年1月よりサイバー改正法が改正施行されました。国家安全保障の観点からは、“サイバーセキュリティの取組みは中国共産党の指導を堅持”、“ネット強国建設の推進”(共に第3条)と加重されました。ビジネスの観点では、本改正の主要内容は下表1であり、現地法人/海外企業にも影響が生じ得ます。
| 項目 | 概要 |
| AI関連条項の追加 | “国家は人工知能の基礎理論研究やアルゴリズムなどの重要技術の研究開発を支援し、訓練データ資源・計算能力などの基盤施設の整備を推進し、人工知能倫理規範を改善し、リスク監視評価と安全規制を強化し、人工知能の応用と健全な発展を促進する(後略)”等を追加。 |
|
域外適用の
拡大
|
➢ “国外の機関・組織・個人が中国のサイバーセキュリティを害する活動を行った場合、法的責任を追及する。重大な結果を招いた場合、公安部門等は財産凍結や他の必要な制裁措置を決定できる。” ➾現行法では"重要情報インフラ施設“への危害に限定していたが、当該限定条件が外れて、更に財産凍結等の具体的な手段が明記された。(現行第75条→改正第77条)➢現行に置いても、原則、“重要情報インフラ施設の運営者は、個人情報及び重要データの国内保存が求められ、業務要請上、国外提供が必要場合の安全措置を講じる必要”あり(第39条等)だが、当該運営者が同条に違反して、個人情報や重要データの国外保管や国外提供に対し、処罰対象となる旨が明記された。(改正第71条) |
| 罰則強化 | 下述参照のこと。 |
現行法と改正法の罰則について、抜粋・比較します。下表2の通り、厳罰化が顕著です。
| 項目(現行法→改正法) | 現行法の罰金額 | 改正法の罰金額(太字は変更・追加箇所) |
|
ネットワーク運営者の
安全保護義務 (第59条→ 第61条)
|
➢義務不履行:1万元以上 10万元以下
➢重大な場合:10万元以上 50万元以下
|
➢義務不履行:1万元以上 5万元以下
➢重大な場合:5万元以上 50万元以下
➢大量データ漏洩等:50万元以上 200万元以下
➢特に重大な場合:200万元以上 1000万元以下
|
|
安全認証、検査基準等に
未達のネットワークインフラ設備等の販売(第63条(新設))
|
(なし) |
➢違法所得なし/10万元未満:2万元以上 10万元以下
➢違法所得10万元以上:所得の1倍以上 5倍以下
(深刻な状況の場合、業務停止、営業許可の取消等)
|
|
システムの脆弱性、コンピュータ
ウイルス、サイバー攻撃や侵入などネットワーク安全管理情報の公開等(第62条→ 第65条) |
➢違反行為:1万元以上 10万元以下
➢重大な場合:10万元以上 50万元以下
|
➢違反行為:1万元以上 10万元以下
➢重大な場合:10万元以上 100万元以下
|
|
ネットワーク運営者の禁止情報の削除・報告義務の懈怠
(第68条・69条→ 第69条)
|
➢禁止情報未削除:5万元以上 30万元以下
➢重大な場合:30万元以上 100万元以下
|
➢禁止情報未削除:5万元以上 50万元以下
➢重大な場合:50万元以上 200万元以下
➢特に重大な場合:200万元以上 1000万元以下
|
| *域外適用の拡大に係る罰則強化は、上表1の通り。 | ||
3.出境(中国➾国外への越境移転)データの安全管理政策に係るQ&A(以下“越境データQ&A”と表記)[viii]
日系企業/日本企業にとり、最重要事項の一つに越境データの取扱いが上げられます。2024年3月に、データ越境移転の促進および規範化に関する規定[ix]が公布・施行されました。同規定は、従来の重要データや個人情報に対しては、その内容や規模に応じて、原則、安全評価、個人情報保護認証、標準契約の締結・届出のいずれかの安全管理措置を要するとの建付けは踏襲しつつも、例えば、個人を一方の当事者とする締結・履行(例えば、海外ショッピングや航空券やホテルの予約ほか)や、労働規則制度および締結済の集団契約に基づく海外人的資源管理を実施等では当該安全管理措置の免除が定められるなど、運用上の整備と一定の緩和が進められました。
更に、2025年4月に越境データQ&Aが公表され、越境データに対する規制は“全てのデータに適用されるわけではなく、重要データや個人情報のみに適用”、すなわち“個人情報や重要なデータを含まない一般データは国境を越えて自由に流れることができ、指定量に達する重要データや個人情報は、データ輸出セキュリティ評価を通過すれば法律に従って国境を越えて移動できる”と、改めて、強調しています。
4.まとめ
上記3の通り、越境データ移転も含み、一般データは中国からの“自由な出境が可能”、また重要データ等は適切な安全管理措置を講じれば“出境が可能”との見解が改めて明示されるなど、漸進的に整備が進む状況です。
一方で、上述の通り、改正サイバーセキュリティ法における罰則強化も顕著です。現地法人がネットワーク運営者では無くとも、もし中国国外からのハッキングや違法情報拡散に関与した場合、財産凍結等の制裁や、サイバーセキュリティへの阻害活動があれば国外本社も制裁対象になり得る等、中国現地法人だけの問題ではありません。従い、個人情報や重要データ、越境データの取扱いに止まらず、従業員も含めた情報セキュリティへの理解、管理体制等の重要性が増したといえ、必要に応じた、管理・教育体制の見直しや内部監査等による現状把握や整備・改善の実施をお勧めします。
[i] 原文URL:网络数据安全管理条例_国务院文件_中国政府网
[ii] 原文URL:人脸识别技术应用安全管理办法_国务院部门文件_中国政府网
[iii] 原文URL:实施《中华人民共和国反外国制裁法》的规定_外交、外事_中国政府网
[iv] 原文URL:全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定_中国人大网
[v] 原文URL:中华人民共和国网络安全法_中国人大网
[vi] 原文URL:中华人民共和国数据安全法_中国人大网
[vii] 原文URL:中华人民共和国个人信息保护法_中国人大网
[viii] 原文URL:数据出境安全管理政策问答(2025年4月)_中央网络安全和信息化委员会办公室
本項目の関連規定として、本文の関連規定に加えて、“数据出境安全评估办法”、“个人信息出境标准合同办法”、“促进和规范数据跨境流动规定”、“关于实施个人信息保护认证的公告”等が挙げられる。