中国における「ネットワークデータ安全管理条例」に関する解説【中国風険消息（中国関連リスクニュース）2025年度 No.3】

1．安全管理条例の背景と意義

（1）国際的な観点

現在、ネットワークセキュリティを取り巻く状況は世界的に一段と厳しさを増しており、米国や欧州では新たなネットワークセキュリティ関連法が相次いで制定され、より厳格なデータ監督体制が構築されつつある。

米国では、近年「サイバーセキュリティ情報共有法」「海外データ合法的使用明確化法（クラウド法）」「データ安全・保護法案」などが相次いで導入された。特にクラウド法は、米国企業および米国で事業を行う外国企業に対し、世界各地に保存されているデータの提供に協力することを求める内容である。また「データ安全・保護法案」は、個人データの収集、利用、保存、伝送に対してより厳格な要件を課し、企業のデータ安全保護責任を強化するものである。

欧州においては、ネットワークセキュリティ関連立法は、より体系的かつ厳格である。「一般データ保護規則（GDPR）」は2018年の施行以来、高い規制水準と厳格な罰則で世界的に知られており、違反した場合は全世界の年間売上高の4％または2,000万ユーロのいずれか高い額が適用科せられる。その後も「サイバーセキュリティ法」「デジタルサービス法」「デジタル市場法」などが順次制定され、ネット空間の監督強化、プラットフォーム責任の明確化、データ安全およびユーザーの権益保護が一層推進されている。

このような国際環境の中で、各国はデータ越境移転やデータ安全保護に対する要求を高めており、データ領域における国際ルール競争が激しさを増している。中国はネットワークデータ大国として、国際ルールの変化に対応し、ネットワークデータ安全を維持するための関連法規体系を早急に整備する必要がある。また中国で事業を展開する企業に対し、明確なコンプライアンス指針を提示し、各国の法制度の差異により企業がコンプライアンス上の困難に陥ることを回避する狙いがあると考えられる。

（2）中国内の観点

中国のデジタル経済は急速に発展しており、ネットワークデータの価値は一段と高まっている。他方で、ネットワークデータを悪用した犯罪も増加しており、個人・企業・国家の安全に深刻な脅威をもたらしている。

個人情報の漏えいの観点において、違法手段を通じて大量の個人情報を取得し、詐欺やターゲティング広告などの違法行為に利用するケースが散見される。

企業データ安全の面では、営業情報の漏えいや基幹データの窃取が生じている。あるテクノロジー企業では、内部従業員が外部者と共謀し、基幹データを窃取して競合他社に流出させ、同社に大きな経済的損失と競争力低下をもたらした。また企業を狙ったハッカー攻撃も増加しており、ランサムウェアで企業データを暗号化し、身代金を要求するなど、企業の正常な運営に甚大な影響を与える事例も発生している。

（3）安全管理条例の意義

中国国内で深刻化するネットワークデータ安全の課題に対し、「サイバーセキュリティ法」「データ安全法」「個人情報保護法」（以下「データ三法」という）はデータ安全および個人情報保護に関する基本制度を定めてきた。しかし、実務レベルではなお細則の不足や制度運用面での課題が存在していた。安全管理条例は、ネットワークデータの処理活動をさらに規範化し、法律運用上の空白を補い、ネットワークデータの安全を保障し、データの適法・合理・有効な利用を促進するために制定されたものである。

2．安全管理条例の適用範囲

安全管理条例は中国国内で実施されるネットワークデータ処理活動およびその安全監督に適用される。ここでいうネットワークデータとは、ネットワークを通じて収集・保存・伝送・処理・利用される各種電子データを指す。

さらに、国外の機関・組織・個人が中国国外で行う活動であっても、中国国内の個人情報を処理する行為や、関連するネットワークデータ処理活動が中国の国家安全、公共利益、または公民・組織の合法的権益を損なう場合には、法に基づき責任追及の対象となる。これは中国に進出している企業にとって、在中拠点でのデータ処理のみならず、海外本社とのデータ連携も含め、在中ネットワークデータに関わる一切の活動が本条例の適用を受けることを意味する。

3．安全管理条例の重点事項

安全管理条例は全9章64条で構成されており、章の構成及び章ごとの位置づけや対象は次のとおりである。

図1　安全管理条例の章の構成

表1　安全管理条例の各章の役割・位置づけと対象

（1）一般規定

1）等級保護制度（等保制度）とは、ネットワークや情報システムを重要度に応じて等級分けし、等級ごとに必要な安全対策や評価義務を定める中国の基本的なサイバーセキュリティ管理制度である。在中日系企業においても、中国国内でネットワークや情報システムを運用する場合には原則として適用対象となり、データ安全管理やコンプライアンス対応の前提制度の一つとなっている。

（2）個人情報保護

安全管理条例では、個人情報保護に関する規定が重点的に細分化されている。

2）地級市とは、中国の行政区分において、省の下位に位置する地方行政単位であり、日本の「県庁所在地を中心とする広域市」に近い位置付けである。多くの場合、企業に対する行政手続や監督・届出は地級市レベルの主管部門が所管している。

法的責任：個人情報保護関連規定に違反した場合、その程度に応じて警告・罰金等の処分を受ける。例えば、所定の告知義務を履行しなかったり、不適切な方法で同意を取得した場合、5万元以上50万元以下の罰金を科される可能性がある。情状が重い場合は50万元以上200万元以下の罰金に加え、関連業務の停止、営業停止・整頓等を命じられることがある。

（3）重要データの安全保障

安全管理条例は重要データを明確に定義している。すなわち、特定の分野・集団・地域に関する、または一定の精度・規模に達するデータであって、改ざん・破壊・漏えい・違法な取得や利用が行われた場合に、国家安全・経済運行・社会安定・公共の健康および安全に直接的な危険をもたらすおそれのあるデータである。例えば、金融業の顧客取引データ、医療業の患者カルテデータ、エネルギー業のパイプライン運転データなどは重要データに該当し得る。

法律責任：重要データの識別・申告を行わなかった場合、またはリスク評価を実施しなかった場合は、10万元以上100万元以下の罰金を科される。情状が重い場合は、100万元以上1,000万元以下の罰金が科され、併せて直接責任を負う主管者およびその他の直接責任者に対して1万元以上10万元以下の罰金が科される。

（4）ネットワークデータの越境移転に関する安全管理

安全管理条例は、既存の関連部門規章の立案・運営経験を踏まえ、データ越境管理規程のメカニズムをさらに最適化している。

3）非センシティブ個人情報とは、中国の「個人情報保護法」に定義されるセンシティブ個人情報（人種、宗教、健康情報、生体識別情報、金融口座情報等）に該当しない個人情報を指す。中国法上、センシティブ個人情報と比べて取扱い要件は相対的に緩やかであるが、個人情報に該当する以上、収集・利用・越境提供等においては合法性、正当性、必要性の原則および安全管理義務が引き続き適用される。

法律責任：ネットワークデータの越境移転に違反した場合、20万元以上200万元以下の罰金が科される。事案の深刻度が高い場合は、200万元以上1,000万元以下の罰金が科され、あわせてデータの越境移転を制限されることがある。さらに、直接責任を負う主管者およびその他の直接責任者には、2万元以上20万元以下の罰金が科される。

（5）ネットワークプラットフォームサービス提供者の義務

ネットワークプラットフォームサービス提供者がデジタル経済および公共サービスにおいて重要な役割を担っていること、ならびに実務上存在する問題を踏まえ、「安全管理条例」はその義務について特別な規定を設けている。ネットワークプラットフォームサービス提供者、第三者の製品およびサービス提供者、プリインストールされたアプリケーションを搭載するスマート端末などの機器製造者に対し、ネットワークデータの安全保護義務を履行することを、安全管理条例では求めている。

法律責任：ネットワークプラットフォームサービス提供者が関連義務に違反した場合、その処罰は厳しく、違反の程度に応じて10万元から1,000万元までの罰金が科されるほか、事業の停止や営業停止・是正措置といった処分を受ける可能性がある。

4．安全管理条例と関連法律の共通点と相違点

「データ三法」は、中国のネットワークデータ安全分野における基本的な法的枠組みを構築しており、安全管理条例はその補完的な行政法規として、これらの法律と密接に関連しつつも、明確な相違点を有している。