{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
はじめに
中国は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法などデジタル分野の規制を補完、強調、具体化する目的で、中国ネットワークデータセキュリティ条例(中国語名称:网络数据安全管理条例)(以下「条例」という)*1を制定しました。条例は、2025年1月1日から施行されています。
条例は主に個人情報保護、重要データ、データの越境移転、製品セキュリティなどについて補足的な規定を設けています。中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整ないし明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。中国サイバー三法についてすでに対応を進めている場合や、対応済みの場合、その差分を確認する必要があります。違反行為については、条例で新たに規定された内容に対してのみ罰則を設けており、サイバーセキュリティ法、個人情報保護法、データセキュリティ法などへの違反となる行為については各法令によって罰することになります。
図表1:中国ネットワークデータセキュリティ条例
ネットワークデータの定義と域外適用
条例の規制対象は、「ネットワークデータ」の処理活動になります。「ネットワークデータ」は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法などで定義されるすべてのデータを包含する定義となっており、個人情報および非個人情報をまとめた概念です。
また。国外で行われるネットワークデータ処理活動が中国の国家安全、社会の利益ないし個人・組織の権益を害する場合に、条例は域外適用効力を有することになっています。これにより、個人情報の処理のみならず、非個人情報の国外における処理活動に対しても法規制が及ぶことになりました。
図表2:ネットワークデータの定義と域外適用
| 規制対象 | ネットワークデータの処理活動 |
| 定義 | ネットワークを経由して処理および生成するすべての電子データを指す。ネットワークデータには、サイバーセキュリティ法、データセキュリティ法、個人情報保護法などにおいて定義されているすべてのデータが含まれる |
| 域外適用 | ネットワークデータの処理活動が中国の国家安全社会の利益ないし個人・組織の権益を害する場合に域外適用があり |
重要なコンプライアンス事項の強調
条例は、既存のサイバーセキュリティ法、データセキュリティ法、個人情報保護法などにおける重要なコンプライアンス事項を補完ないし強調する内容を規定しています。例えば、AIで使用するデータの合法性、等級保護の実施、製品・サービスの脆弱性対応、インシデント報告、データの委託処理の際の契約、セキュリティ対策などについて図表3の通り規定しています。
図表3:既存法令内容の補完・強調
個別規定:個人情報保護、重要データ保護、越境移転、プラットフォーマー規制
条例は、個人情報の保護、重要データセキュリティ、ネットワークデータ越境移転、プラットフォーマーの義務について特別に規定しています。製品セキュリティについて、プラットフォーマーに対する規制に含めて規制する内容となっている点に注意が必要です。
個人情報保護
条例は、個人情報保護に関してプライバシーポリシーの策定内容、本人指定の第三者対応、また外国において中国居住者の個人情報を取り扱う場合の代表者設置義務の履行、コンプライアンス状況の監査などについて規定しています。特に個人情報管理に関する専門組織などの構築に関する人数基準を緩和しています。
- プライバシーポリシーを策定し、目立つ場所に公開する
- 収集する個人情報について目的、範囲、方法などをリスト式で公開する
- 14歳未満の個人情報を取り扱う場合、別途プライバシーポリシーを策定する
- 本人権利行使の方法を提供し、遅滞なく対応する
- 自動化収集などにより本人同意が取得できない場合、削除あるいは匿名化処理を行う
- 本人の指定する第三者の個人情報へのアクセスを確保する
- 個人情報保護法における「代表者」設置義務を履行する
- 個人情報保護法コンプライアンス状況について監査を実施する
- 1,000万人以上の個人情報を取り扱う場合、専門部署と責任者を設置する
重要データ保護
重要データは、当局の作成する重要データカタログによって管理されることになっており、2024年3月の「データ越境移転に関する規定」*2において規定されている「当局によって重要データであると告知または公開されていないデータは重要データに該当しない」ことをより明確にしました。
当局が作成する重要データカタログに掲載される重要データを取り扱う組織は、ネットワークデータに関する専門部署とネットワークデータ業務に関する専門知識のある責任者を設置しなければなりません。重要データの取り扱い状況について毎年リスク評価を行い、その結果を当局に報告する必要があります。大型プラットフォーマーの場合はさらに、リスク評価報告書で主要業務とサプライチェーンのセキュリティ状況も説明しなければなりません。
ネットワークデータの越境移転
越境移転可能なネットワークデータは以下の通りです。特に、重要データに関して、関連当局から重要データであると告知、公開していないものについて安全評価を行う必要はありません。
- 安全評価に合格した場合
- 指定の認証機関により個人情報保護認証済みの場合
- 標準契約による越境の場合
- 個人が当事者となる契約の締結、履行のための個人情報移転
- 就業規則など労働管理制度および締結済みの労働集団契約に基づく労務管理の需要による個人情報移転
- 法定職責、義務履行のための個人情報移転
- 緊急時個人の生命健康および財産の保護のための個人情報移転
- その他法律法規による場合
プラットフォーマー規制
プラットフォーマー、IoT機器の製造者などは、サードパーティー製品やサービス提供者のネットワークデータ保護、サイバーセキュリティ対策に関する要求です。データ、サイバーセキュリティ関連でユーザーに損害を与えた場合、プラットフォーマー、製造者、サードパーティーはその責任を追うこととなっており、製品製造者も注目すべき法令です。
そのほかにも、大型プラットフォーマーの社会責任報告書の公開、差別のないアルゴリズムの使用など義務を強調しています。
まとめ
条例は中国のサイバーセキュリティ法、データセキュリティ法、個人情報保護法に対して、その重要な内容の補足、強調などを規定しており、中国で事業を展開する企業にとって注目すべき内容となっています。中国サイバー三法についてすでに対応を進めている場合や、対応済みの場合、その差分を確認する必要があります。
*1 中国ネットワークデータセキュリティ条例(2024年10月8日閲覧)
https://www.cac.gov.cn/2024-09/30/c_1729384452307680.htm
*2 データ越境移転に関する規定(2024年10月8日閲覧)
https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
