中国のデータ越境規制が緩和へ!?2025年最新の対応ポイントをわかりやすく解説

2025年4月23日

こんにちは!クララ株式会社のクロスボーダービジネスチームです!

中国のサイバーセキュリティ法(CSL)や個人情報のデータ越境移転に関する規制は、中国でビジネスを展開する日系企業にとって重要な課題となっています。

特に、個人情報の取り扱いや越境移転に関するルールは厳しく、罰則も年々厳罰化しているため、日系企業の皆様はこれに適切に対応

しかし今回、データの越境移転規制が緩和されました!
今回は、2024年から2025年にかけて施行された新たな規制の中でも、特にデータ越境の分野に焦点を当てて解説します!

 

データの越境移転規制の緩和

2024年3月22日、「データの越境移転の促進及び規範化規定」が施行され、個人情報の越境移転に関する規制が緩和されました。​これにより、

  • 事前手続きの免除:​特定の条件下で、個人情報の越境移転に必要な事前手続きが不要となりました!
  • 自由貿易試験区の活用:​自由貿易試験区内でのデータ移転が促進され、特定のデータリストに基づきデータ移転が可能となりました。

疑問その1:特定の条件とは?

年間1,000万人未満の個人情報を越境移転する企業は、標準契約条項(SCC)の締結やデータ保護影響評価(DPIA)の実施を省略できる可能性があります。

ただし、センシティブな個人情報を含む場合は、この限りではありません

疑問その2:簡素化ってどうなるの?

以前の手続き(簡素化前)

  1. データ保護影響評価(DPIA)の実施
    • 越境移転を行う企業は、移転先の国で個人情報のセキュリティが適切であるかを評価し、評価結果を当局に提出する必要がありました。
  2. 標準契約条項(SCC)の締結
    • 海外に個人情報を移転する際、移転先の企業との間で「標準契約条項」を締結し、データの安全性を確保するための条項を盛り込む必要がありました。
  3. 事前の承認申請
    • 特に大規模な個人情報を扱う企業やセンシティブ情報(例えば、健康情報や財務情報)を移転する場合、関連当局に事前に承認を得ることが求められました。

簡素化後の手続き

簡素化により、年間1,000万人未満の個人情報を移転する企業については、次の手続きの省略が可能なケースがあります:

  1. DPIAの実施の省略
    • 標準契約条項(SCC)の締結や事前承認申請が不要な場合、DPIAの実施も省略されることになります。
    • ただし、センシティブな個人情報(例:健康情報や財務情報)を移転する場合には、この省略の対象外となり、引き続きDPIAが必要です。
  2. 標準契約条項(SCC)の締結の省略
    • 年間1,000万人未満の個人情報を扱う企業であっても、移転先の国が十分なデータ保護基準を満たしていると認められた場合、標準契約条項の締結が不要となります。
  3. 事前の承認申請の省略
    • 特定の条件(例:年間1,000万人未満の個人情報)を満たす場合、事前の承認申請が不要となります。これにより、企業は迅速に個人情報を越境移転できるようになります。

 

「移転先の国が十分なデータ保護基準を満たしていると認められた場合」とは?

移転先の国が十分なデータ保護基準を満たしているかの判断は、中国当局が行います。
この基準には、移転先国の個人情報保護法データセキュリティ法がどれだけ厳格であるか、そして実際にそれらが適切に適用されているかが考慮されます。

データ保護基準の判断基準

  1. 法的枠組み
    • 移転先国が、個人情報保護やデータセキュリティを保障する強固な法的枠組みを有しているかが評価されます。これには、個人情報保護法(例:GDPRや日本の個人情報保護法)などが含まれます。
  2. 実施状況
    • 移転先国が、その法律や規制を実際に適用・監督しているか、またその法規制が現実的に効果的であるかどうかが評価されます。
  3. 独立した監督機関の存在
    • 移転先国に、データ保護を監督する独立機関(例:日本の個人情報保護委員会など)が存在し、その機関が実際に機能しているかも評価対象となります。
  4. 国際的な協力や認証
    • 例えば、EUのGDPRに基づく「適切性認定」のように、国際的な基準に適合していることが証明されている場合、その国が十分なデータ保護基準を満たしていると認定されることがあります。

移転先が日本の場合

日本は個人情報保護法(PIPA)を有しており、その内容は欧州のGDPR(一般データ保護規則)に準拠しており、国際的に高い評価を受けています。

日本は、EUから適切性認定を受けた国の一つです。
つまり、日本は中国の規制当局にとって、十分なデータ保護基準を満たしている国と認識されているはずです。

したがって、移転先が日本の場合、日本の個人情報保護法が適用されるため、標準契約条項(SCC)の締結は不要、企業はDPIA(データ保護影響評価)やその他の手続きを省略できる可能性が高いです。

 

まとめ

中国での個人情報保護やデータ越境に関する法規制は、年々変化しています。

規制が緩和されたとはいえ、条件や例外の判断、適切な対応には専門的な知識と最新の情報が欠かせません。

クララ株式会社では、中国ビジネスに関わるITインフラや法令対応の支援を行っています。
 越境データ移転やサーバ構築、中国現地規制への準拠など、お困りのことがあればお気軽にご相談ください。

▶ クララの中国ITソリューション:https://ci.clara.jp/cloudchina/
 ▶ データ通信最適化「Exxpress China」:https://ci.clara.jp/cloudchina/express-china/
 ▶ ICP登録代行サービス:https://ci.clara.jp/cloudchina/icp/

中国市場でのIT・法規対応は、信頼できるパートナーと一緒に取り組むことが成功の鍵です。
 クララが、日系企業の皆さまの安心・安全な中国ビジネスを支えます!

おすすめ