こんにちは！クララのクロスボーダービジネスチームです！

2025年9月、世界的な高級ブランドDior（ディオール）の上海法人が、中国当局から個人情報保護法（PIPL）違反で処分を受けたというニュースが大きな注目を集めました。
今回の件は、単なるデータ流出ではなく、外国企業に対するPIPL本格適用の象徴的なケース。日本企業にとっても「明日は我が身」と感じる出来事です。

この記事では、事件の経緯を整理しながら、日系企業が押さえておくべきポイントを解説していきます。

事件概要：不正アクセスから越境データ摘発へ

2025年5月、Diorの顧客データベースに不正アクセスが発生しました。流出した可能性があるのは、氏名、性別、電話番号、住所、購入履歴など。一方で、パスワードや決済情報は別システムに保存されていたため、直接の影響は避けられました。

Diorはすぐに外部の専門家を呼び、調査と封じ込めを実施。顧客への注意喚起や当局への報告など、初動対応はスピーディーに進められました。

ところがその後、中国当局がDior上海法人の内部体制を調査し、越境データ移転に関する深刻な不備が次々に判明したのです。

• 安全評価・標準契約・認証を未実施（PIPL第38条）

               本来、中国で集めた個人情報を海外に送る場合は、

• • ①国家当局の安全評価

• • ②標準契約の締結・届出

• • ③第三者認証の取得

──いずれかを必ず経なければなりません。Diorはこれを一切行っておらず、無許可の越境移転と判断されました。日本本社でデータを一元管理したいケースでは、日系企業も同じ落とし穴に陥りがちです。

• 顧客への告知と個別同意の欠如（第14条・第39条）
  　国外移転を行うときは、どこに送るのか・何のために使うのかを顧客に説明し、「包括的な同意」ではなく一件ごとの個別同意をとる必要があります。Diorはこれを怠っており、本人の自己決定権を侵害したと指摘されました。日本企業でも、利用規約にまとめて同意をもらうやり方を採用していることが多いですが、中国ではそれでは通用しません。
  
  
• 暗号化や匿名化など技術的保護措置の不足（第51条）
  　PIPLは、データ転送や保存の際に暗号化や匿名化を行うことを求めています。Diorの場合、このあたりの対策が甘く、不正アクセスによって情報がそのまま見えてしまう状態だったとされました。形式的な同意だけでなく、実際にセキュリティが実装されているかが当局の重視ポイントになっています。

さらにDiorは高級ブランドであり、顧客層には富裕層が多いという事情もあります。高い購買力を持つ人々の個人情報は、詐欺や標的型フィッシングに悪用されやすく、流出時のリスクが一層大きいと見なされます。こうした背景も、今回の摘発が強いインパクトを持った理由のひとつです。

処罰内容と不明点

中国当局はDior上海法人に「行政処分」を科しましたが、その具体的な中身はまだ公開されていません。

• 罰金額は非公開

• 罰金か改善命令か、業務停止命令かといった詳細は不明
  

• 個人責任者が処分を受けたかどうかも明らかにされていない
  

つまり今回の処分は、「金額の大きさ」よりも「外国企業にもしっかりPIPLを適用する」という強いメッセージをまずは示すことに重きが置かれていたと考えられます。

日系企業にとって「明日は我が身」

この事件から見えてくるのは、日本企業にも直結するリスクです。

       1.     報告すれば終わりではない

                    報告をきっかけに、内部体制まで細かく調べられる。そこで不備が見つかれば処分対象になる可能性が高いです。

       2.      グローバル基準だけでは足りない

                    「GDPR対応しているから大丈夫」と思っていても、中国独自の要件（個別同意や標準契約など）を守れていなければ摘発されます。

       3.      扱う顧客層によってリスクの形が違う

                      Diorは富裕層データゆえにリスクが強調されましたが、一般消費者や社員の情報でも、詐欺やなりすましなど悪用パターンは多く存在します。

PIPLとは？

PIPL（個人情報保護法）は2021年に施行された中国のデータ保護法で、「中国版GDPR」と呼ばれます。
国外に個人情報を送る場合は、安全評価・標準契約・認証のいずれかが必須で、さらに本人への事前告知と明確な同意取得も求められます。
違反すれば、最大で前年度売上の5%という高額な罰金が科される可能性もあるのです。

まとめ：今だからこそ体制を点検

今回のDior摘発は「偶然の流出」ではなく、日頃のデータ管理の甘さが処分の理由になったケースでした。
当局は今後も外国企業への監督を強めるとみられ、日本企業も決して無関係ではありません。

• データ越境の流れをきちんと把握できているか

• 中国子会社や現地代理店に任せきりになっていないか
  

• 暗号化や同意取得が“形だけ”になっていないか

こうした点を、このタイミングで改めて見直してみることが大切です。

ご相談ください

クララでは、日系企業の中国ビジネスにおける セキュリティ対策・等級保護（MLPS）・越境データコンプライアンス をトータルでサポートしています。

「うちの体制は大丈夫かな？」と不安になった方は、ぜひお気軽にご相談ください。

👉 クララ株式会社 お問い合わせフォーム