登壇者
エレドン ビリゲ(Bilig Eredon)
PwCコンサルティング合同会社
シニアマネージャー
中国政府は、データの越境移転に関する厳格な規制を緩和しはじめています。グローバル企業にとってはビジネスデータの国外移転やグループ内共有が容易になった一方、国内のサイバーセキュリティやインシデント対応の要件は強化されています。本稿ではこうした「越境移転は緩和、国内統制は強化」という対照的な動きの背景と、日本企業が押さえるべき実務ポイントを、グローバルのデジタル法規制調査・支援を担当するエレドン ビリゲが解説します。
グローバルで加速するデジタル法規制の整備
最初に、各国で進むデジタル法規制の動向を整理します。
PwCコンサルティングでは2020年から、各国で新たに制定・公表されるデジタル分野の法規制を、継続的にモニタリングしています(下図)。
海外展開する日本企業が対応すべきデジタル法規制の動向
それによると、2024年に確認された新規法規制は約300件でしたが、2025年はガイドラインを含めて500件以上に達しました。各国で制度整備が急速に進んでいることが分かります。対象領域はAI、サイバーセキュリティ、IoTセキュリティ、プライバシーの4分野が中心です。こうした法規制は国によって適用範囲や要件、罰則が大きく異なるため、海外で事業を展開する企業は、進出先ごとの規制内容を正確に把握しておく必要があります。
法規制がこれほど急増している要因には、工業・情報技術を中心とした「従来型の経済」から、データやデジタル技術を中心とする「デジタル経済」への移行があります。既存の法体系ではこの変化に対応しきれず、新たなルール整備が各国で急務となっています。
こうした動向は、政治・経済・社会・技術の四つの側面からも説明できます。政治面では地政学的リスクの高まりを背景に「デジタル主権」「技術主権」の思想が広がり、テクノロジー分野での外国依存からの脱却を目指す動きが強まっています。ソブリンクラウドやソブリンAIといった用語が広まっているのもその表れです。
経済面では、データを基盤とするデジタル経済の発展そのものが、新たな法規制の需要を生み出しています。社会面では、正負の両面があります。インターネットユーザーやコネクテッド製品の利用が増える一方で、それを狙うサイバー攻撃やインシデントも増加しています。技術面ではAI、IoT、クラウド、ICTサービスなど、あらゆるものがつながる世界が進展しています。こうした四つの要因が相まって、デジタル分野の法規制を推し進めています。
ただし、デジタル経済自体の歴史はまだ浅いため、法規制の整備は各国とも途上にあり、今後も活発な制定が続くとみています。現時点では各国が足並みを揃えて同様の法律を制定するには至っておらず、それぞれ特徴ある動きを見せています。
下の図は主要国・地域の法整備の特徴を、要件やペナルティの強い順に左から並べたものです。最も厳しいのはEUで、CRA(サイバーレジリエンス法)やAIについての包括的な法令を制定しています。さらに、重要インフラ分野では域内で事業展開する外国企業も対象とするNIS2(改正ネットワーク情報セキュリティ指令)も掲げています。いずれも高いペナルティが規定されているのも特徴です。
各国の法整備に関する特徴
次に厳しいのが中国です。2017年のサイバーセキュリティ法制定以降、一党国家体制の下で法令整備と意思統一が速く進み、デジタル法規制の全体像が明確になりつつあります。それ以外の国では英国、米国、日本の順に規制はやや緩やかになりますが、いずれの国もデジタル分野で自国の規制圏を囲い込む方向に動いています。
「国内は厳格、越境は緩和」中国デジタル法規制の全体像
次に中国のデジタル分野における、法規制の全体像について説明します。2017年にサイバーセキュリティ法が制定されてから数年が経ち、下の図のようにデジタル法規制の全体像が明確になってきました。
中国の動向(概要)
中国のデジタル法規制は、二つの軸で運用されています。一つは中国国内の法執行で、こちらは厳格化の方向にあります。もう一つはデータの越境移転で、個人情報を含む越境移転については、基準の明確化や緩和が進んでいます。以下、それぞれを説明します。
まず国内の法規制です。サイバーセキュリティ分野では「等級保護制度」が基盤にあり、情報セキュリティシステムを持つ全ての企業に実施が義務付けられています。脆弱性管理も規定がありますが、外資系企業は基本的に重要インフラには該当しないため、割愛します。製品・サービスの領域では、中国もEU同様に重要製品のリストを定め、該当する製品に認証を義務付けています。
次に個人情報保護法です。これは個人情報を取り扱う全ての企業が対象で、取得・処理における同意取得、DPO(データ保護責任者)の設置、削除権をはじめとする本人の権利と事業者の義務が定められています。
さらにデータセキュリティ法では、特に「重要データ」の扱いが大きな論点になっています。多くの企業が判断に迷っていましたが、後ほど紹介する「国境を越えたデータフローの推進と標準化に関する規則」により、「政府が重要データとして指定していないデータは重要データと見なさなくてよい」と整理され、対象範囲が実務上かなり明確になりました。
また、自動車データや医療データといった特殊データの管理については個別の法令が整備されつつあり、重要データとして扱うか各法令に従って対応するかを判断することになります。さらにサイバーインシデントの報告についても正式に法令が制定され、報告義務の根拠が整いました。
企業が対応すべき中国国内規制の重点領域
ここからは、中国国内で特に法執行が厳格に行われている領域を、トピックごとに整理します。
サイバーセキュリティ法–サイバーセキュリティ等級保護制度
まずは上の図にあるサイバーセキュリティの「等級保護制度」です。サイバーセキュリティ法により、ネットワークを保有する企業は、等級保護の実施が法定義務とされています。等級は情報システムが侵害された場合の影響の対象(国民・法人、社会秩序・公共利益、国家安全)と、損害の深刻度に応じて一級から五級に分類されています。そして、級ごとに定められたセキュリティ要件を実装しなければなりません。
基本要素には物理環境、通信ネットワーク、計算環境などの「技術要件」と、管理制度や運営管理といった「管理要件」があります。また、クラウド、IoT、ICS、ビッグデータなどを利用する場合には、「拡張要件」も加わります。実務上、ほとんどの企業は二級か三級に該当し、二級以上は実装後に公安(警察)への届け出と、第三者機関による定期的な等級測定・再評価が求められます。
次に「脆弱性情報管理規定」です。中国は独自の脆弱性管理体制を敷いており、脆弱性情報の公表を厳しく制限しているのが特徴です。例えば、製品提供者は脆弱性を修復する前に情報を公開してはならず、大型イベント期間中は公安部の許可なく脆弱性を公表することも禁止されています。また、未公開の脆弱性情報を製品提供者以外の外国の個人・組織に提供することも認められていません。報告期限にも日数制限が設けられており、工信部(工業情報化部)が運営するプラットフォームへの届け出が義務付けられています。
続いて「重要ネットワーク製品規制」です。中国当局が定める対象製品リストに掲載された製品は、中国独自の国家規格に基づく認証を取得しなければなりません。対象はネットワークセキュリティ製品が中心ですが、スイッチ、サーバー、PLC(産業用制御装置)といったOT(Operational Technology:制御・運用技術)関連の製品も含まれており、下図のカテゴリのとおり幅広い分野が規制対象となります。
さらに、日本のIoTセキュリティラベリング制度である「JC-STAR(※1)」に近い考え方のコネクテッド製品向けラベリング制度が、中国でも最近パブリックコメントとして公表されました。こちらは強制ではなく任意の制度です。仕組みはシンガポールのラベリング制度「CLS(※2)」に近く、星一つから三つの3段階で評価されます。星三つではペネトレーションテストなど第三者による検証が必要となります。
※1 JC-STAR:日本で2025年3月に開始した任意のIoTセキュリティラベリング制度。製品のセキュリティ対策状況を★1から★4の段階で示し、★1・★2はメーカーの自己適合宣言、★3・★4は第三者評価を前提とする。
※2 CLS(Cybersecurity Labelling Scheme):シンガポール政府が運用するIoT機器向けの任意ラベリング制度。製品のセキュリティ水準を1から4の4段階で評価し、レベル3以上では第三者試験機関によるセキュリティテストが必要となる。
2025年11月1日に施行された「サイバーインシデント報告管理弁法」も重要なトピックです。この制度はインシデントの重大度に応じて企業に迅速な報告を義務付けるもので、一般企業も対象になります。
中国サイバーインシデント報告管理弁法1/2
※1 重要インフラに該当しない一般的企業は、その他ネットワーク運営者に該当します。
「中国サイバーインシデント報告管理弁法」
まず、比較的大きいレベル以上のインシデントが発生した場合、一般企業は発覚から4時間以内に当局へ報告する義務があります。インシデントが「重大」または「特別重大」に分類される場合には、一次報告を受けた地方当局が、上級機関へ順次報告していく仕組みが取られています。
特徴的なのは、中国では報告対象をサイバー攻撃に限定していない点です。人為的ミス、システム故障、自然災害など、不可抗力による事象もすべてサイバーインシデントとして扱われ、報告が求められます。
報告の対象者は、三つに区分されています。国家・中央政府部門および所属組織、重要インフラ施設、そしてその他ネットワーク運営者です。外資系企業はほとんどが三つ目の「その他ネットワーク運営者」に該当し、一次報告の期限は発覚・認知から4時間以内、報告先は所在地のインターネット管理部門(CAC)です。なお、国家・中央政府部門は2時間以内、重要インフラ施設は1時間以内と、より短い期限が設定されています。重大・特別重大なインシデントについては、一次報告を受けた当局がさらに上級機関へ再報告する仕組みです。
報告内容は8項目で、速報・補足・完全報告の3段階に分かれています。全容がすぐに判明しない場合はまず速報を出し、後から補足します。インシデント対応終了後30日以内に完全報告を提出します。報告手段はファックス、ウェブ、電話、メールなどです。この法令自体には罰則規定はありませんが、報告義務に違反した場合はサイバーセキュリティ法など他の法律に基づき罰則が科される可能性があるため、注意が必要です。
データ越境移転の三つのツールと緩和ポイント
ここからは、データの越境移転規制がどのように整理・明確化されてきたのかを説明します。
データの越境移転は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法の三法で規定されていますが、実務上の中心は個人情報保護法です(下図右側)。移転の方法として安全評価、標準契約、認証の三つのツールが順次整備されてきました。安全評価が2022年9月、標準契約が2023年6月に施行済みで、認証は2026年1月1日から施行されています。
中国サイバー三法における越境移転規制および移転ツール
出所:各国・地域の公的情報よりPwC作成
当初、安全評価の要件はかなり厳しいと言われていましたが、2024年3月22日に「国境を越えたデータフローの推進と標準化に関する規則」が公表され、大幅に緩和されました。この規則は他の既存法令にも優先して適用されるため、基本的にこれに準じて対応すればよいと考えています。なお、自由貿易区に所在する企業は、自由貿易区独自のネガティブリストも併せて確認する必要があります。緩和の主なポイントは次のとおりです。
- 貿易・グローバル生産・製造業務に関連するデータは、原則として規制対象外
- 従業員データも、中国現地法人の社内規定を整備していれば規制対象外
- 安全評価の対象となる個人情報の人数要件が「100万人以上」に引き上げ
- 安全評価に代えて、より簡易な標準契約・認証で対応できる範囲が拡大(閾値の引き下げ)
なお、自動車業界では2026年1月に「自動車データ越境セキュリティガイドライン(2026版)」が公表さるなど特殊な業界では、今後も独自の規制が設けられると予想されますが、業務運用上の利便性を考慮し、移転手続き自体は緩和される方向が多いのが現状です。
最後にまとめです。中国で事業を展開する企業にとって、国内法令の順守自体は、現地法人が各規制の要件に適切に対応していれば大きな問題にはなりません。むしろ課題となるのは、「越境データ移転を前提としたグローバルシステムをどう運用するか」という点です。ただし、この課題は中国に特有のものではありません。各国でデジタル分野のブロック化が進む中、システムを国ごとに独立運用するのか、グローバルに接続して運用するのかという判断が、企業に求められています。
