上海物来喜電子商務有限公司上海物来喜電子商務有限公司

お役立ち情報

お役立ち情報

人気情報ランキング

【中国G04】 中国データ越境の規則(日系企業が取るべき適法ルート)2025.09.12

中国 ホームページ制作、中国 デジタルマーケティング、中国 コンテンツマーケティング。日系企業にとって、データ越境は重要な経営課題。中国法では、顧客情報を日本本社へ送信するだけでも規制対象となり、対応が必要。越境には「安全評価」「標準契約」「認証」の3ルートがあり、企業規模や拠点に応じて選択する。まずは自社のデータ流れを可視化し、計画的に対応を進めることが求められる。

 

 1. データ越境はデリケートな荷物の適切な輸送法

①日系企業にとって、 中国での事業活動
における「データの越境移動」は もはや
無視できない経営課題である。

 

しかし、複雑な法規制や手続きに、
以下の声も少なくない。
「何から手をつければいいのかわからない」

 

 

(例❶)上海で現地顧客の情報を収集している
ある日系企業が、日本本社での分析するために、
データを送信するという、日常的なシーンでも、
中国の法律では「データ越境」に該当し、適切
な手続きが必要となる。

 

 

②今回は 中国のデータ越境規制を「安全評価」
「標準契約」「認証」の3つのルートに分けて、
日系企業向けにお話する。

 

最後まで読めば、自社に必要な対応が明確
になり、 コンプライアンスリスクを軽減す
る第一歩を踏み出せるようになる。

 

 

 

 2. データ越境をめぐる世界と中国の動向

①中国のデータ越境規制を理解するには、
まず世界的な潮流を押さえる必要がある。

 

2018年にEUのGDPR (一般データ保護規則)
が 施行され、「データ保護の国際基準」が
大きく変化した。
    ↓
中国も、これに呼応するように、ここ数年で、
データ保護関連の法整備を急速に進めている。

 

 

②特に重要なのは、以下の3つの法律。

・サイバーセキュリティ法(2017年施行)
・個人情報保護法(2021年施行)
・データ安全法(2021年施行)
    ↓
これらの法律は、中国国内で収集された「個人情報」
や「重要データ」の取り扱いを規制しており、違反
した場合には、 最大5,000万元の罰金や 事業許可証
の取消などの深刻な制裁が科せられる可能性がある。

 

 

 

 3. データ越境の3つの適法ルート
 (基本をみっちり押さえる)

中国で「データを越境させる」には、以下の
3つの方法のいずれかを選択する必要がある。
   ↓
自社の状況に合わせて、
最適なルートを選ぶことが重要。

 

【ルート❶】安全評価
(大規模データ取り扱い企業向け)

⑴ 安全評価の対象となる企業は、以下。

・重要情報インフラ運営者(CIIO)
・100万人以上の個人情報を取り扱う企業
・1万人以上の機微個人情報を越境させる企業

 

⑵ 安全評価は、3つの方法の中で、
最も厳格な審査が行われる ルート。

国家インターネット情報弁公室(CAC)が
主導する審査では、データの種類や量、取
り扱い方法など多角的な評価が行われる。

 

⑶ 審査期間は、通常3ヶ月程
度かかると 想定しておくべき。

 

 

【ルート❷】標準契約
(中小規模の日系企業に適した現実的な選択肢)

⑴ 標準契約の対象となる企業は安全評価の対象
とならない 中規模のデータ取り扱い企業である。

 

 標準契約は、2023年2月に公布された
「個人情報出境標準契約方法」に基づく方法。
    ↓
 中国の所定の標準契約書を締結し、 地方イ
 ンターネット情報弁公室に届け出ることで、
 データ越境が可能になる。

 

 

⑵ 届出には、以下の書類が必要。
 ・個人情報保護影響評価報告書
 ・標準契約書

 

⑶ 提出後、10営業日以内に受理結果が通
知され、 問題がなければ、15営業日以内
に届出番号が発行される。

 

安全評価に比べて「手続きが簡素化」され
ており、 多くの日系企業にとって、現実的
な選択肢となると考えられる。

 

 

【ルート❸】個人情報保護認証
(自由貿易試験区内企業向け)

⑴ 個人情報保護認証の対象となる企業は、
中国の自由貿易試験区内に 登録されてい
る企業である。

 

上海臨港新片区や、北京自由貿易試験区など、
特定の自由貿易試験区内に登録されている企
業は「個人情報保護認証」 を利用できる可能
性がある。

 

 

⑵ この認証は、中国网络安全審査認証和市場
監管大數據中心 (CCRC) が 実施し、 技術検証
や現場審査を経て、認証が付与される。

 

 

 

 4. データ越境が必要となる具体的なシナリオ

①「データ越境」と聞いても、 どのような
場面で該当するのか イメージしにくいかも
しれない。

 

 

②以下の具体例を参考にしてください。

❶該当する例:
・中国現地法人で収集した顧客情報
を日本本社で分析するため送信する

・中国国内のサーバーに保存しているデータ
に、 日本本社からアクセスできるようにする

 

 

❷該当しない例:
・中国国内でのみデータを利
用し、 一切国外に送信しない

・中国国外から、中国国内へ
のデータ移転(インバウンド)

 

 

 

 5. 2024年3月の規制緩和
 (企業負担を軽減する「322規定」)

①2024年3月22日、「データ越境移転の促進お
よび標準化に関する規定」 (通称「322規定」)
が施行され、データ越境の規制が 一部緩和さ
れた。

 

 

②この規定の主なポイントは、以下。

❶個人情報の量が少なく重要度が低いデータ越
境シナリオを実質的に評価・届出義務から除外
❷企業のコンプライアンス対応負担を軽減
❸データ越境安全評価の適用基準を大幅に引き下げ

  ↓
これにより、 多くの日系企業では、標準契約の
締結と届出だけで、データ越境が可能になった。

 

 

 

 6. 違反した場合のリスク
 (知らなかったでは済まない罰則)

①データ越境規制に違反した場合、以下の
ような「罰則」が科せられる可能性がある。

⑴ 是正命令、警告
⑵ 違法所得の没収
⑶ 10万元~1000万元の罰金
⑷ 業務停止、事業許可証の取消
⑸ 直接責任者への罰金(1万元~100万元)

 

 

②「知らなかった」では済まされ
ないのが中国のデータ規制である。

 

積極的なコンプライアンス対応が求められる。

(例❷)日系製造業A社の標準契約締結事例

⑴ 実際の事例を見てみる。

中国に現地法人を持つ 日系製造業A社は、
現地で収集した顧客データを日本本社で
分析する必要に迫られていた。

データ量は、安全評価の対象となる閾値に
達していなかったため、標準契約の締結を
選択した。

 

 

⑵ 実施した手順は、以下。

1. 個人情報保護影響評価の実施
2. 中国の標準契約書式に基づく契約締結
3. 必要書類の準備(約2週間)
4. 地方インターネット情報弁公室への届出提出
5. 15営業日後の届出番号取得

所要時間:約2ヶ月
費用:主に外部法律アドバイザー費用として約15万元

 

 

⑶ このケースでは、専門家の助けを借り
ながらも、 比較的スムーズに手続きを完
了することができた。

(参考:中国国家互联网信息办公室「个人信息出境标准合同办法」)

 

 

 

 7. 3つのステップでわかる実践ガイド

①日系企業にとって、データ越境対応
は、もはや、いつかやる課題ではなく、
「今すぐ取り組む必須事項」である。

 

 

②では、具体的に何から始めればよいのか。

初心者の方でも迷わず動き出
せる3つのステップは、以下。

 

【ステップ❶】自社のデータ流れを「可視化」する

⑴ まず中国現地法人で、どのようなデータを
収集・処理し、 どのように日本本社と共有し
ているかを明らかにすること。

例えば:
・顧客情報や取引データを本社分析用に送信している
・中国国内サーバーに保存したデータに本社からアクセスしている

 

 

⑵ こうしたケースはデータ越境に該当する。

重要なのは「データの量」と「種類」の把握。
  ↓
個人情報が 100万人分以上あるか、 機微情報
(人種、信条、医療データなど)が1万人分
以上あるかで、必要な手続きが変わる。

 

 

【ステップ❷】3つの合法ルートから「最適解」を選ぶ

⑴ 中国のデータ越境には、以下の3つの方法がある。

1. 安全評価:大規模データ取り扱い企業向け
(国家インターネット情報弁公室による審査)

2. 標準契約:中小規模企業向け
(所定の契約書を地方当局に届出)

3. 認証:自由貿易試験区内企業向け
(CCRCによる認証取得)

 

 

⑵ 2024年3月の規制緩和により、多くの日系企
業では「標準契約」が現実的な選択肢となった。

必要な書類は、以下。
 ・個人情報保護影響評価報告書
 ・標準契約書

 

⑶ 届出から約15営業日で、承認を
得られる ケースが ほとんどである。

 

 

【ステップ❸】専門家と「協働」して確実に実行

⑴ 法務部門だけで対応するのは困難。

現地の法律事務所や、コンサルティング企業と
連携し、以下の流れで進めることをお勧めする。

1. 現状評価(2~4週間)
2. 必要書類の準備(1~2ヶ月)
3. 当局への提出・フォローアップ(1~2ヶ月)

 

 

⑵ まずは「動き出す」ことが最大の防御である。

データ越境規制は複雑だが、
何も行動しないことが最大のリスク。
  ↓
まずは「自社のデータ流れ」を可視化し、
専門家の助言を得ながら、計画的に対応
を進めることが重要。

 

⑶ 中国市場で、持続可能な事業を展開する
ためには 「データコンプライアンス」への
投資が不可欠な時代となっている。

 

 

 

 8. まとめ(すべきことが明確になるデータ越境対応)

①中国のデータ越境規制は、複雑ですが、
適切な知識と準備を持って臨めば、決し
て越えられないハードルではありません。

「自社のデータ取り扱い状況」を把握し、
 3つのルートの中から、最適な方法を
 選択することが最初の一歩です。

 

 

②多くの日系企業は「標準契約の締結と届出」
が、現実的な選択肢となる、と考えられます。

 

 

③2024年3月の規制緩和により、 対応負担は
軽減されていますが、コンプライアンス対応
を「先延ばしにすること」はできません。

 

まずは「自社のデータフロー」を可視化し、
専門家の助言も得ながら、計画的に対応し
ていくことをお勧めします。

 

 

※本記事は一般的な情報提供を目的としてお
り、法的助言を提供するものではありません。

具体的なデータ越境対応については、
専門の法律アドバイザーにご相談ください。

 

 

(参考)ホームページ運営で注意すべき中国の「法規制遵守」

 

 

 

 

「この記事についてのご意見をお聞かせください」
ご意見を反映させてお役立ち情報を作成していきます。

※コンテンツは AI⽣成により基本⽂章を作成しています。
※上記の画像は DALL・E3によって作成されたものです。

※各例の掲載企業名は、プライバシー保護のため、仮称を
使⽤している場合があります。ご了承の上お読みください。

※ 弊社の「お役⽴ち情報」はスマホ画⾯で読む⽅が増えており、
スマホ画⾯で読みやすくすることを標準仕様としています。
ブラウザの設定画⾯にある「フォントサイズを調整すること」
で、格段に読みやすくなります。ぜひ、試してみてください。

本ホームページの収録内容はすべて当社に著作権があります。
無断転載・複製は、固くお断りいたします。
以下の場合には、お気軽にお問い合わせください。
サービス内容 / 機能の実現性 / お⾒積もり

無料相談
お役立ち情報