中国個人情報保護法について
令和8年4月10日
森・濱田松本法律事務所
(令和7年度受託法律事務所)
中国[1]の個人情報保護法が2021年11月1日に施行されてから4年以上が経過しました。同法は中国における個人情報保護規制に関する初めての基本法として制定されましたが、その後、同法に関しては数多くの関連規則やガイドライン等が制定され、具体化されたルールに基づく検討や対応が必要となってきております。
本資料では、主に個人情報保護法に関して実務上頻出する論点について、施行後のアップデートも踏まえてQ&A方式により説明します(本資料で引用する条文番号は別途記載されていない限り個人情報保護法の条文番号を意味します。なお、本資料は2026年3月末日時点の情報を前提にしています。)。
Q1 個人情報の定義
中国の個人情報保護法において個人情報はどのように定義されているでしょうか。
A1
■個人情報の意義
中国の個人情報保護法において、個人情報は、「電子的方式又はその他の方式により記録され、すでに識別され又は識別可能な、自然人と関連する各種の情報」(匿名化処理された情報は含まれない。)と定義されています(4条)。そのため、個人の「識別可能性」と個人との「関連性」のある情報が個人情報に該当するといえますが、具体的に個人情報に該当するか否かを検討する場合、推奨国家標準である「個人情報安全規範」(GB/T 35273-2020)の付録A(個人情報の例示)に列挙されている個人情報の具体例(下表)が参考となります。
個人情報の具体例
本資料では、主に個人情報保護法に関して実務上頻出する論点について、施行後のアップデートも踏まえてQ&A方式により説明します(本資料で引用する条文番号は別途記載されていない限り個人情報保護法の条文番号を意味します。なお、本資料は2026年3月末日時点の情報を前提にしています。)。
Q1 個人情報の定義
中国の個人情報保護法において個人情報はどのように定義されているでしょうか。
A1
■個人情報の意義
中国の個人情報保護法において、個人情報は、「電子的方式又はその他の方式により記録され、すでに識別され又は識別可能な、自然人と関連する各種の情報」(匿名化処理された情報は含まれない。)と定義されています(4条)。そのため、個人の「識別可能性」と個人との「関連性」のある情報が個人情報に該当するといえますが、具体的に個人情報に該当するか否かを検討する場合、推奨国家標準である「個人情報安全規範」(GB/T 35273-2020)の付録A(個人情報の例示)に列挙されている個人情報の具体例(下表)が参考となります。
個人情報の具体例
| 個人の基本データ | 個人の氏名、生年月日、性別、民族、国籍、家族関係、住所、個人の電話番号、電子メールアドレス等 |
| 個人の身分情報 | 身分証、士官証、パスポート、運転免許証、従業者証、出入許可証、社会保険カード、居住証等 |
| 個人の生体認証情報 | 個人の遺伝子、指紋、声紋、手相、耳介、虹彩、顔の識別に係る特徴等 |
| ネットワークIDの識別情報 | 個人情報主体のアカウント、IPアドレス、個人のデジタル証明書等 |
| 個人の健康及び生理的情報 | 個人の発病治療等により生じる関連記録。例えば、疾病、入院記録、医師指示票、検査報告、手術及び麻酔記録、看護記録、投薬記録、薬品食品アレルギー情報、出産情報、既往歴、治療状況、家族の病歴、現病歴、伝染病歴等、並びに、個人の身体的健康状況に関する情報(例えば、体重、身長、肺活量等) |
| 個人の教育及び勤務情報 | 個人の職業、職位、勤務先、学歴、学位、教育を受けた経歴、職歴、育成訓練記録、成績票等 |
| 個人の財産情報 | 銀行口座、識別情報(パスワード)、預金情報(資金額、金銭支払受取記録等を含む)、不動産情報、貸付記録、信用情報、取引及び消費記録、出納記録等、並びに仮想通貨、仮想取引、ゲーム類のリディームコード等の仮想財産情報 |
| 個人の通信情報 | 通信記録及び内容、ショートメッセージ、マルチメディアメッセージ、電子メール、並びに個人の通信を記述したデータ(通常は「メタデータ」という)等 |
| 連絡先の情報 | アドレス帳、友達リスト、グループリスト、電子メールアドレスリスト等 |
| 個人のネットワーク接続記録 | ログに記録された個人情報主体の操作記録をいう。ウェブサイト閲覧記録、ソフトウェア使用記録、クリック記録、お気に入りリスト等を含む。 |
| 個人の常用装置情報 | ハードウェアのシリアル番号、装置のMACアドレス、ソフトウェアリスト、一意の装置識別コード(例えば、IMEI/Android ID/IDFA/OpenUDID/GUID/SIMカードIMSI情報等)等を含めた、個人が常用する装置の基本的状況を記述した情報をいう。 |
| 個人の位置情報 | 行動の軌跡、正確な位置情報、宿泊情報、緯度経度等を含む。 |
| その他の情報 | 婚姻歴、宗教の信仰、性的指向、公開されていない違法犯罪記録等 |
※個人情報安全規範付録Aから抜粋して翻訳
■機微な個人情報の意義
また、取扱に関してより厳格な要件が必要となる「機微な個人情報」について、「一旦漏洩され、又は不法に使用されると、自然人の人格の尊厳が侵害を受け、又は人身、財産の安全が害されやすい個人情報」と定義されており、その具体例として、生体認証、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報、及び14歳未満の未成年者の個人情報が含まれると規定されています(28条)。
機微な個人情報の具体例については、2024年9月に制定された「機微な個人情報識別ガイドライン」(TC260-PG-20244A)、及び2025年4月に制定された「機微な個人情報取扱安全要求」(GB/T 45574-2025)において列挙されており、実務的に参考となります。
機微な個人情報の具体例
■機微な個人情報の意義
また、取扱に関してより厳格な要件が必要となる「機微な個人情報」について、「一旦漏洩され、又は不法に使用されると、自然人の人格の尊厳が侵害を受け、又は人身、財産の安全が害されやすい個人情報」と定義されており、その具体例として、生体認証、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報、及び14歳未満の未成年者の個人情報が含まれると規定されています(28条)。
機微な個人情報の具体例については、2024年9月に制定された「機微な個人情報識別ガイドライン」(TC260-PG-20244A)、及び2025年4月に制定された「機微な個人情報取扱安全要求」(GB/T 45574-2025)において列挙されており、実務的に参考となります。
機微な個人情報の具体例
| 生体認証情報 | 個人の遺伝子、顔、声紋、歩容、指紋、手相、眼相、耳介及び虹彩等の生体認証情報 |
| 宗教信仰情報 | 個人の宗教信仰、加入する宗教組織、宗教組織における役職、参加する宗教活動及び特殊な宗教習俗等の個人情報 |
| 特定身分情報 | 障害者身分情報、公開すべきでない職業身分情報等の個人情報 |
| 医療健康情報 | ―個人の身体的又は心理的傷害、疾病、障害及び疾病リスク又はプライバシーに関する健康状況情報、例えば病症、既往歴、家族の病歴、伝染病歴、健康診断及び出産情報等 ―疾病予防、診断、治療、看護及びリハビリテーション等の医療サービスにおいて収集又は生成した個人情報、例えば医療受診記録(例えば医療意見、入院記録、医師指示票、手術及び麻酔記録、看護記録及び投薬記録)、検測検査データ(例えば検測報告及び検査報告)等 |
| 金融口座情報 | 個人の銀行、証券、ファンド、保険及び積立金等の口座の番号及び暗証番号、積立金の連名口座の番号、支払口座の番号、銀行カードのトラックデータ(あるいはチップと同じ効力を有する情報)又は口座情報に基づいて生成した支払標記情報又は個人収入明細等の個人情報 |
| 行動軌跡情報 | 連続的正確的な位置軌跡情報、自動車の運転軌跡情報又は人の連続的な活動軌跡情報等の個人情報 |
| 14歳未満の未成年者個人情報 | 14歳未満の未成年者個人情報 |
| その他の機微な個人情報 | 正確な位置情報、身分証明書写真、性的指向、性生活、信用情報、犯罪記録情報及び個人の身体のプライベートな部位を示す写真又はビデオ情報等の個人情報 |
※機微な個人情報取扱安全要求及び機微な個人情報識別ガイドライン付録Aから抜粋して翻訳
Q2 個人情報保護法の域外適用
中国の個人情報保護法は、中国国外の企業に対しても適用される場合があると聞きましたが、どのような場合に適用されるのでしょうか。また、中国国外の企業にも適用される場合の留意点は何でしょうか。
A2
■域外適用の要件
中国の個人情報保護法は、中国国内における個人情報の取扱行為に対して適用されるだけでなく、中国国外においても適用される場合があります(いわゆる「域外適用」。3条)。
域外適用の要件は以下のとおり定められています。すなわち、中国国外における、中国国内の自然人の個人情報の取扱行為が、(1)中国国内の自然人に対する製品又は役務(サービス)の提供を目的とするとき、(2)中国国内の自然人の行動を分析し、評価するためであるとき、又は(3)法律、行政法規に規定するその他の事由のいずれかに該当するときは、中国の個人情報保護法が適用されます。上記(1)の典型例として、中国国内の個人に対して越境ECにより製品を販売する場合や旅行サービス等を提供する場合、上記(2)の典型例として、中国国内の個人の購買動向等を調査する場合等が考えられます。
■域外適用を受ける場合の留意点
中国の個人情報保護法の域外適用を受ける中国国外の個人情報取扱者[2]は、中国において専門機構又は代表者を設置し、かつその名称・氏名、連絡先等を個人情報保護職責履行部門に届け出ることが要求されます(53条)。但し、現時点では上記の専門機構又は代表の設置、及びその届出について具体的な実務は定まっていないようです。例えば、中国国内に子会社が存在する場合には、当該子会社を専門機構として当局に対して届け出ることが想定されますが、具体的な対応については今後の実務動向も踏まえながら検討する必要があると考えられます。
また、域外適用の場面においては、中国国外の個人情報取扱者において違法行為があったとしても、中国当局が処分等を行うことは事実上困難であることが想定されます。そこで、個人情報保護法は、中国国外の個人情報取扱者に対する法規制の実効性を確保するために、国のネットワーク情報部門は、国外の組織や個人が、中国の公民の個人情報の権益を侵害し、又は中国の国の安全や公共の利益を害する個人情報取扱行為に従事した場合、それらの者を個人情報提供制限リスト又は同禁止リストに記載し、これを公告し、かつそれらの者に対する個人情報の提供を制限又は禁止し、実質上中国市場へのアクセスを制限又は禁止する等の措置を講じることができると規定している点にも注意が必要です(42条)。
上記に加えて、中国の個人情報保護法の域外適用を受ける場合には、同法に定める一般的な要求事項を遵守する必要があるといえます。例えば、下記Q&A3のように中国の個人情報保護法に基づく個人情報の取扱の要件を確保する必要があると考えられます(典型的には、個人情報の取扱について同意を確保できているかの検証がポイントになると考えられます)。また、中国の個人情報保護法においては、個人情報取扱者として、個人情報の安全確保のために講じるべき措置として以下の内容が定められており(51条)、こうした措置についても対応を検討する必要があるといえます。但し、実際には、日本の個人情報保護法や欧州一般データ保護規則(General Data Protection Regulation(GDPR))等に基づいてすでに行われている措置でカバーできる場合も多いと考えられます。
(1) 内部の管理制度及び操作規程を制定する。
(2) 個人情報に対して分類管理を実行する。
(3) 暗号化、非識別化等の然るべき安全技術措置を講じる。
(4) 個人情報取扱の操作権限を合理的に確定し、かつ定期的に従業員に対して安全教育及び研修を行う。
(5) 個人情報の安全に関わる事象に対する緊急対応策を制定し、かつ実施を手配する。
(6) 法律、行政法規に定めるその他の措置
Q3 個人情報の取扱の要件
個人情報はどのような場合に適法に取扱うことができるでしょうか。
A3
(1)個人情報の取扱(収集、保存、使用、加工、伝送、提供、公開、削除等)を行うための正当な事由について、個人情報保護法は以下の事由を列挙しています(13条)。
Q2 個人情報保護法の域外適用
中国の個人情報保護法は、中国国外の企業に対しても適用される場合があると聞きましたが、どのような場合に適用されるのでしょうか。また、中国国外の企業にも適用される場合の留意点は何でしょうか。
A2
■域外適用の要件
中国の個人情報保護法は、中国国内における個人情報の取扱行為に対して適用されるだけでなく、中国国外においても適用される場合があります(いわゆる「域外適用」。3条)。
域外適用の要件は以下のとおり定められています。すなわち、中国国外における、中国国内の自然人の個人情報の取扱行為が、(1)中国国内の自然人に対する製品又は役務(サービス)の提供を目的とするとき、(2)中国国内の自然人の行動を分析し、評価するためであるとき、又は(3)法律、行政法規に規定するその他の事由のいずれかに該当するときは、中国の個人情報保護法が適用されます。上記(1)の典型例として、中国国内の個人に対して越境ECにより製品を販売する場合や旅行サービス等を提供する場合、上記(2)の典型例として、中国国内の個人の購買動向等を調査する場合等が考えられます。
■域外適用を受ける場合の留意点
中国の個人情報保護法の域外適用を受ける中国国外の個人情報取扱者[2]は、中国において専門機構又は代表者を設置し、かつその名称・氏名、連絡先等を個人情報保護職責履行部門に届け出ることが要求されます(53条)。但し、現時点では上記の専門機構又は代表の設置、及びその届出について具体的な実務は定まっていないようです。例えば、中国国内に子会社が存在する場合には、当該子会社を専門機構として当局に対して届け出ることが想定されますが、具体的な対応については今後の実務動向も踏まえながら検討する必要があると考えられます。
また、域外適用の場面においては、中国国外の個人情報取扱者において違法行為があったとしても、中国当局が処分等を行うことは事実上困難であることが想定されます。そこで、個人情報保護法は、中国国外の個人情報取扱者に対する法規制の実効性を確保するために、国のネットワーク情報部門は、国外の組織や個人が、中国の公民の個人情報の権益を侵害し、又は中国の国の安全や公共の利益を害する個人情報取扱行為に従事した場合、それらの者を個人情報提供制限リスト又は同禁止リストに記載し、これを公告し、かつそれらの者に対する個人情報の提供を制限又は禁止し、実質上中国市場へのアクセスを制限又は禁止する等の措置を講じることができると規定している点にも注意が必要です(42条)。
上記に加えて、中国の個人情報保護法の域外適用を受ける場合には、同法に定める一般的な要求事項を遵守する必要があるといえます。例えば、下記Q&A3のように中国の個人情報保護法に基づく個人情報の取扱の要件を確保する必要があると考えられます(典型的には、個人情報の取扱について同意を確保できているかの検証がポイントになると考えられます)。また、中国の個人情報保護法においては、個人情報取扱者として、個人情報の安全確保のために講じるべき措置として以下の内容が定められており(51条)、こうした措置についても対応を検討する必要があるといえます。但し、実際には、日本の個人情報保護法や欧州一般データ保護規則(General Data Protection Regulation(GDPR))等に基づいてすでに行われている措置でカバーできる場合も多いと考えられます。
(1) 内部の管理制度及び操作規程を制定する。
(2) 個人情報に対して分類管理を実行する。
(3) 暗号化、非識別化等の然るべき安全技術措置を講じる。
(4) 個人情報取扱の操作権限を合理的に確定し、かつ定期的に従業員に対して安全教育及び研修を行う。
(5) 個人情報の安全に関わる事象に対する緊急対応策を制定し、かつ実施を手配する。
(6) 法律、行政法規に定めるその他の措置
Q3 個人情報の取扱の要件
個人情報はどのような場合に適法に取扱うことができるでしょうか。
A3
(1)個人情報の取扱(収集、保存、使用、加工、伝送、提供、公開、削除等)を行うための正当な事由について、個人情報保護法は以下の事由を列挙しています(13条)。
(1)個人の同意を取得しているとき
(2)個人を当事者の一方とする契約の締結、履行のために必要であるとき、又は法に従い制定された労働規則制度及び法に従い締結された集団契約に従い人材資源管理を実施するために必要であるとき
(3)法定の職責又は法定の義務の履行のために必要であるとき
(4)突発的公衆衛生事象に対応するため、又は緊急の場合において自然人の生命健康及び財産の安全を保護するために必要であるとき
(5)公共の利益のためニュース報道や世論による監督等の行為を実施するにあたり、合理的な範囲内で個人情報を取扱うとき
(6)個人が自ら公開した個人情報又はその他のすでに合法的に公開されている個人情報を本法の規定に従い合理的な範囲内で取扱うとき
(7)法律、行政法規に定めるその他の事由
個人情報の取扱の正当事由として、上記(1)(個人の同意)と、その他の事由(上記(2)以降)が並列で規定されていますが、その他の事由が適用される場面は相当限定的であるため、実務的には、個人の同意の取得をまず検討する必要があるといえます。その他の事由の中でも、上記(2)のうち人事管理を根拠とする事由は実務的に有用と考えられます。当該事由においては、「法に従い制定された労働規則制度及び法に従い締結された集団契約に従い人材資源管理を実施するために必要であるとき」と規定されており、労働契約法等における法令の手続き(民主的手続き)を遵守して定められた就業規則等に明示することで従業員の個人情報の取扱が可能となると考えられます。
Q4 「個別の同意」が要求される場面
中国の個人情報保護法においては、通常の同意と異なり、「個別の同意」が要求される場面があると聞きましたがどのような場面でしょうか。また、「個別の同意」はどのように取得する必要があるでしょうか。
A4
■通常の同意の取得方法
「同意」は、当該個人が事前に十分に事情を知らされた状態で自らの意思により明確に意思表示されなければなりません(14条)。そして、個人情報取扱者は、個人情報を取扱う前に、明確な方法・明瞭簡易な表現で、当該個人に対し、(1)個人情報取扱者の名称又は氏名及び連絡先、(2)個人情報の取扱目的、取扱方法及び取扱う個人情報の種類、保存期間、(3)個人情報保護法に定める権利を個人が行使する場合の方法及び手続、(4)法律、行政法規に告知すべき旨が定められているその他の事項を正確・完全に告知しなければならないとされています(17条)。
多数の個人から同意を取得する場合には、いわゆるプライバシーポリシー等に上記の告知事項を記載して、当該プライバシーポリシー等に関して同意を得るという手法が一般的といえます。
同意の取得方法については、2023年12月から施行されている「個人情報取扱における告知及び同意に関する実施ガイドライン」(GB/T 42574-2023)に以下のような具体例が示されており実務的に参考となります。
- 個人がインタラクティブ・インターフェースを通じて自発的な選択、自発的な「同意」「次へ」「継続」のクリック、スライドブロックのスワイプ、自発的な送信等の動作を行い、意思を表示
- 個人が自発的に個人情報を記入し、アップロードし、入力することにより、意思を表示
- 個人が紙版又は電子版の書面による表明、署名確認によって意思を表示
- 個人が自発的に証明書の提示、カード読取り、指紋認証、顔認証等の動作により意思表示
- 個人がメール、ショートメッセージへの返信等の自発的な連絡方法で意思を表示
- 個人が電子署名の方式によって意思を表示
- 個人が電話録音、映像録画等の方式により意思を表示
■「個別の同意」が必要となる場面・その取得方法
個人情報を取扱う際の同意取得について、これまでの実務では、個人から包括的な同意を取得するケースが多かったといえます。しかし、個人情報保護法は、以下の場合には包括的な同意ではなく、「個別の同意」を取得しなければならないと要求しています。
- 個人情報取扱者が第三者にその取扱う個人情報を提供する場合(23条)
- 個人情報取扱者がその取扱う個人情報を公開する場合(25条)
- 公共の場所へ据え付けた画像収集設備、個人の身元識別設備により収集した個人の画像、身元識別情報を、公共の安全の維持保護の目的以外の目的に利用する場合(26条)
- 機微な個人情報を取扱う場合(29条)
- 個人情報取扱者が中国国外に個人情報を提供する場合(39条)
「個別の同意」の意義について個人情報保護法では明確にされていませんが、「ネットワークデータ安全管理条例」において、「個別の同意」とは、「個人が自己の個人情報について特定の処理を行うことに対し、専ら行う具体的かつ明確な同意をいう」と定義されています(同条例62条)。その上で、上記「個人情報取扱における告知及び同意に関する実施ガイドライン」においては、「個別の同意」の取得方法として、特定の取扱(域外移転や機微な個人情報の取扱等)に関する利用目的や利用方法を明示した上で、同意のデフォルト設定や一括の同意ではなく、別項目に明示的同意の方式で同意を取得することや、複数の個別同意が必要となる状況がある場合には、チェック、選択等により分項ごとに同意を選択できる仕組みを提供することが示されています。
Q5 個人情報の越境移転に関する規制
中国の個人情報保護法においては、中国国内から中国国外に個人情報を移転することについて規制がかかると聞きましたが、どのような規制でしょうか。また規制が免除される場合もあるということですが、免除の要件についても教えてください。
A5
■個人情報の越境移転の要件
個人情報を中国国内から中国国外に提供する場合(いわゆる「越境移転」)、上記の「個別の同意」を取得する必要があり、かつ以下のいずれかの要件を満たす必要があるとされています(38条)。
(1)国のネットワーク情報部門が行う安全評価に合格すること
(2)国のネットワーク情報部門の規定に従い専門機構が行う個人情報保護に係る認証を受けること
(3)国のネットワーク情報部門が制定する標準契約に従い国外の受領者と契約を締結し、双方の権利及び義務を約定すること
(4)法律、行政法規又は国のネットワーク情報部門が定めるその他の条件に該当すること
■安全評価の合格が必要となる場合
上記各要件は基本的に並列で規定されており、いずれかを満たせばよいことになりますが、一定の場合には上記(1)の要件(安全評価への合格)が要求される場合があります。具体的には、(1)重要情報インフラ運営者[3]が域外に個人情報を提供するとき、又は(2)重要情報インフラ運営者以外のデータ取扱者が域外に当年1月1日以降に累計100万人分以上の個人情報(機微な個人情報を含まない)若しくは1万人分以上の機微な個人情報を域外に提供するときには、安全評価の合格が必要であるとされています(「データ越境流動の促進及び規範化に関する規定」7条)。安全評価の具体的な手続きは、「データ域外移転安全評価規則」(2022年9月施行)、「データ域外移転安全評価申告ガイドライン(第三版)」(2025年6月施行)等に規定されています。
■標準契約締結又は認証取得
上記のように安全評価への合格が必要である場合を除いては、個人情報の越境移転の要件としては、標準契約の締結又は認証の取得を選択できることになりますが、実務的には標準契約の締結が行われることが多いと考えられます。
標準契約については、「個人情報域外移転標準契約規則」(2023年6月施行)及び「個人情報域外移転標準契約届出ガイドライン(第二版)」(2024年3月施行)において雛形が提示されており、基本的にはこの雛形どおりの契約を締結する必要があります。また、標準契約を締結する場合には、管轄のネットワーク情報部門に対して標準契約と個人情報保護影響評価報告書(下記参照)を届け出る必要があります。
認証の取得に関する具体的な手続きについては、「個人情報越境移転認証規則」(2026年1月施行)、「個人情報保護認証実施規則」(2022年11月施行)や「サイバーセキュリティ標準実践指針―個人情報域外移転取扱活動安全認証規範V2.0」(2022年12月施行)等において規定されています。
■影響評価の実施
さらに、個人情報の越境移転を実施する前に個人情報保護影響評価[4]を行い、また取扱状況について記録を取ると共に、評価報告及び取扱状況の記録を3年間保存しなければならないとされています(55条、56条)。個人情報の越境移転に係る個人情報保護影響評価については、「個人情報域外移転標準契約届出ガイドライン(第二版)」において、個人情報保護影響評価報告として記載すべき内容が示されています。
■越境移転の要件免除に関するルール
2024年3月に制定された「データ越境流動の促進及び規範化に関する規定」により、次の各号のいずれかの場面で個人情報を越境移転する必要がある場合には、越境移転に関する上記の要件(安全評価の合格、認証の取得又は標準契約の締結)は免除されることになりました。
(1)個人を一方の当事者とする契約[5]を締結し、履行するために必要な場合
(2)法に基づき定められた労働規則制度及び法に基づき締結された集団契約に従い越境人材資源管理を実施するために必要な場合
(3)緊急の状況において自然人の生命・健康及び財産の安全を保護するために必要な場合
(4)重要情報インフラ運営者以外のデータ取扱者が当年1月1日以降に累計10万人分未満の個人情報(機微な個人情報を含まない)を域外に提供するとき
そのため、個人情報の越境移転を実施する場合には、まず上記の免除事由に該当するか否かを検討する必要があります。多くの企業では、上記(4)の数量の軽微基準による免除や、上記(2)の人事管理を理由とする免除に該当する可能性があると考えられます。その上で、免除事由に該当すると整理できない場合には、上記要件の充足について対応をする必要があることになります。なお、上記の免除事由に該当する場合においても、原則として個人情報の越境移転に関する個別の同意を取得すること[6]、及び個人情報保護影響評価を実施することは必要になる点に注意が必要です。
Q6 重要データの越境移転に関する規制
「重要データ」についても、中国国内から中国国外に移転することについて規制がかかると聞きましたが、どのような規制でしょうか。
A6
「重要データ」を中国国内から越境移転するためには、インターネット情報弁公室による安全評価に合格することが必要とされています(「データ域外移転安全評価規則」4条)。そのため、「重要データ」が何を意味し、どのようなデータが「重要データ」に該当するかが重要といえます。この点、ネットワークデータ安全管理条例において、「重要データは特定の分野、特定の集団、特定の地域、又は一定の精度及び規模に達し、改ざん、破壊、漏洩、不正取得、不正利用等が発生すると、国家安全保障、経済運営、社会安定、公衆衛生・安全に直接的な危害を及ぼす可能性のあるデータを指す」として原則的な定義が設けられているものの、当局により制定されることが想定されている重要データの目録は、現時点では制定されていません。
そのため、当局が重要データの具体的な範囲を制定するまでは重要データの域外移転において安全評価を申告する必要はないという規定[7]が存在することも踏まえると、現時点では重要データの域外移転規制が適用される場面は限定的と考えられます。但し、自動車業界に関しては「自動車データ安全管理規定(試行)」において具体的に重要データの内容が制定されていること、また一部の地域においても条例に基づく重要データの規定が存在することに注意が必要です(例えば、北京市は、2024年8月に「中国(北京)自由貿易試験区データ域外移転管理リスト(ネガティブリスト)(2024版)」を公布し、分野ごとに重要データの類型や基本特徴等を規定しています。)。
Q7 合規性監査
個人情報保護法においては個人情報の取扱に関して監査をしなければならないと規定されているそうですが、どのような規制でしょうか。監査の頻度の要求などはあるのでしょうか。
A7
個人情報保護法において、個人情報取扱者は個人情報の取扱に関する法令遵守状況について定期的に合規性監査を行わなければならないとされています(54条)。この合規性監査に関する頻度について、「個人情報保護合規性監査管理規則」(2025年5月施行)及び「ネットワーク安全標準実践ガイドライン 個人情報保護合規性監査要求」(2025年5月施行)によれば、取り扱う個人情報の量に応じて、(1)1,000万人分を超える場合は少なくとも2年に1回、(2)100万人分を超え1,000万人分以下の場合には、3年又は4年ごとに1回以上の監査、(3)100万人分以下の場合には、5年に1回以上の監査を実施することが望ましいとされています。また、合規性監査の内容についても上記規則等に定められています。個人情報保護法における合規性監査の規定は抽象的であるものの、上記規則等によって合規性監査の実施頻度の目安や内容が示されていることから、合規性監査の実施についても検討をする必要があると考えられます。
なお、未成年者の個人情報を扱う場合には、「未成年者ネットワーク保護条例」に基づき、毎年1回の合規性監査を実施するように要求されているところ、2025年12月に公布された「未成年者個人情報保護合規性監査提出業務の実施に関する公告」においては、具体的に毎年1月末までに前年の監査内容を管轄のネットワーク情報部門に対して提出するように要求しています。そのため、未成年者の個人情報を取り扱っている企業においては、このような未成年者の個人情報に関する合規性監査の要求も特別に存在することについて注意をする必要があります。
Q8 違法行為に対する罰則
個人情報保護法に違反する行為があった場合、どのような罰則が科されるでしょうか。
A8
個人情報保護法に違反する場合の罰則一般として、個人情報保護職責履行部門による是正命令、警告、違法所得の没収、個人情報を違法に取扱うアプリケーションプログラムのサービス提供の一時停止又は終了が定められており、是正を拒否したときは、100万元以下の過料を併科できると定められています。また、企業のみならず、直接責任を負う主管者及びその他の直接責任者に対しても、1万元以上10万元以下の過料に処することができるとしています(66条1項)。
さらに、個人情報保護法に違反する行為があり、その情状が重いときには、省級以上の個人情報保護職責履行部門が是正を命じ、違法所得を没収し、併せて5,000万元以下又は前年度売上高の5%以下の過料に処するものとし、さらに関連業務の一時停止又は営業停止・整頓を命じ、関連主管部門に通報して、関連業務許可を取り消し、又は営業許可書を取り上げるよう要請することができ、直接責任を負う主管者及びその他の直接責任者に対しては10万元以上100万元以下の過料に処するものとし、さらにその者が一定期間において関連企業の董事、監事、高級管理職及び個人情報保護責任者に就任することを禁止する旨を決定することができるとされています(66条2項)。
どのような場合に情状が重いと判断されるかの基準は明確にされていないものの、売上高基準で過料を科せられることとなる場合には、その過料金額は企業規模によっては巨額となり得る点に留意が必要です。
Q9 個人情報保護法への対応
中国の個人情報保護法についてまだ十分に対応できていない場合、どのように検討をすればよいでしょうか。
A9
まず、中国法人において扱っている個人情報や日本本社において扱っている中国国内の個人情報など、グループ会社内においてどのような個人情報を取得、保有、使用等をしているのかを把握する必要があります。そのためには、いわゆるデータマッピングの作業が有効です。
その上で、中国の個人情報保護法への対応についても優先度の高いものから実施していくことが効率的と考えられます。まず、中国の個人情報保護法においては、個人情報の取扱について原則として個人から同意を取得することが重要であるといえます。そのため、データマッピングの結果として、個人の同意が取得できていない個人情報取得のルートがないか検証し、もし同意の取得漏れがある場合には、同意を取得できるように制度やシステムを変更する必要や、同意以外の方法により個人情報の取扱根拠を確保できないかを検討する必要があります。また、個人から同意を取得する前提として、プライバシーポリシーや個人情報取扱規程等の整備が必要といえます。
また、日本企業を含めた外国企業については、事業やグループ会社の管理のために、中国国内の個人情報を越境移転する場面が多いことから、越境移転に関する規制を遵守しているかを検証することも重要といえます。特に、越境移転の要件に関する具体的な手続きや、その免除に関する規定は近年急速に整備されていますので、常に最新の情報に基づいて検証をすることが重要といえます。
本資料の利用についての注意・免責事項
本資料は、森・濱田松本法律事務所が2026年3月末日までに入手した中国の法令等の公開情報に基づき作成しており、その後の法令改正等を反映していません。また、本資料に掲載する情報について、一般的な情報・解釈がこれと同じであることを保証するものではありません。本資料は参考情報の提供を目的としており、法的助言を構成するものではありません。
日本政府、外務省、在中国日本国大使館、領事館及び森・濱田松本法律事務所は、本資料の記載内容に関して生じた直接的、間接的、派生的、特別の、付随的又は懲罰的損害等について、一切の責任を負いません。
以上
[1] 本資料において、中国とは中国大陸を含み、香港特別行政区、マカオ特別行政区及び台湾を含みません。
[2] 「個人情報取扱行為において、取扱目的、取扱方法を自ら決定する組織又は個人」(73条1号)
[3] 「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政、国防科学技術工業等の重要な業界及び分野、並びにその他ひとたび破壊され、機能を喪失し、又はデータが漏洩すると、国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある重要ネットワーク施設、情報システム等」(ネットワーク安全法31条、重要情報インフラ安全保護条例2条)
[4] 個人情報保護影響評価は、個人情報の越境移転以外にも以下の場合に行う必要があります。
(1)機微な個人情報の取扱
(2)個人情報を利用した自動化された意思決定
(3)個人情報の取扱の委託、その他の個人情報取扱者への個人情報の提供及び個人情報の公開
(4)その他個人の権益に重大な影響を与える個人情報取扱行為
(1)機微な個人情報の取扱
(2)個人情報を利用した自動化された意思決定
(3)個人情報の取扱の委託、その他の個人情報取扱者への個人情報の提供及び個人情報の公開
(4)その他個人の権益に重大な影響を与える個人情報取扱行為
[5] 例えば越境ショッピング、越境配達、越境送金、越境決済、越境口座開設、航空券・ホテルの予約、査証手続、試験サービス等の契約
[6] 個人情報の越境移転の根拠として、法に従い制定された労働規則制度等に基づき人材資源管理を実施する場合に該当するときは、従業員から個人情報の越境移転に関して個別の同意を取得することは必要ないと整理することができると考えられます。
[7] 「データ越境流動の促進及び規範化に関する規定」2条