中国のデータ越境規制(PIPL)— 個人情報を日本本社へ送るには【連載⑧】
中国のデータ越境規制(PIPL)— 個人情報を日本本社へ送るには
人の労務(連載⑦)まで整えたら、いまの中国進出で避けて通れないのがデータの扱いです。給与計算で従業員データを、本社報告で顧客データを日本へ送る——その一つひとつが個人情報の「越境(国外提供)」に当たります。本稿は、三法体系・越境の3ルート(PIPL第38条)・人数閾値・免除(HR/契約履行)・重要データ・自贸区を、日系子会社の実務目線で整理します。2026年1月の認証弁法施行で3ルートが出そろい、制度の枠組みが完成しました。次回・連載⑨は商標です。
01データを縛る「三法体系」と下位法令
中国のデータ規制は3つの上位法律が土台で、その下に手続を定める弁法・条例が連なります。
- ネットワーク安全法(2017、2025年改正・2026年1月施行)・データ安全法(2021)・個人情報保護法(PIPL・2021)が上位法。個人情報の越境を直接縛るのはPIPL、重要データの保護はデータ安全法、CIIO(重要情報インフラ運営者)規制はネットワーク安全法、という役割分担です。
- 横断的な運用は「ネットワークデータ安全管理条例」(2025年1月施行)が束ね、越境の3手続は安全評価弁法・標準契約弁法(SCC)・認証弁法が支えます。
出発点は「棚卸し」です。自社が中国から国外へ送っている個人情報は何か——種類・量・送り先を洗い出すと、どの法律・どの手続が効くかが見えてきます。
02個人情報を国外へ送る3つの法定ルート
個人情報を国外へ提供するには、PIPL第38条に基づき、原則として次の3ルートのいずれか1つを満たす必要があります(免除に該当する場合を除く)。
- ①データ越境安全評価(CAC本体に申告する最も重い手続)/②標準契約(SCC)(中国版の定型書式を締結し省級網信弁へ届出)/③保護認証(専門認証機関の適合性評価)。
- 振り分けは(a)重要データを含むか・(b)CIIOか・(c)越境する個人情報の人数規模(暦年累計)の3点。重要データの越境は人数を問わず安全評価が必須です。
人数閾値の根拠は「促進・規範データ越境流動規定」(2024年3月施行)です。安全評価(第7条)=暦年累計で100万人以上の個人情報(非センシティブ)または1万人以上のセンシティブ情報。SCCまたは認証(第8条)=10万〜100万人未満(非センシティブ)または1万人未満のセンシティブ情報。閾値は暦年(1月1日起算)の累計でカウントするため、年の途中で超えうる点に注意します。認証は2026年1月1日施行・証書有効3年(満了6か月前に更新)で、グループ内移転を一括カバーできるのが利点です。
03手続が「免除」されるケース — HR・契約履行・少人数
一定の場合は、安全評価・SCC・認証のいずれも不要(免除)になります(2024年3月規定 第3〜5条)。
- 主な免除:①個人が当事者の契約の履行(配送・送金・予約・ビザ等)/②労働規則・団体協約に基づく国境を越えたHR管理/③緊急時/④暦年累計10万人未満(非センシティブ)/⑤国内収集の個人情報を含まない場合。
- 日本本社へのHRデータ送付は、「人事管理に必要な範囲」であれば人数を問わず免除されます(最小限・目的直結が条件)。給与計算・人事評価・グローバル配置が典型です。
免除でもPIPL本体の義務は残ります。同意取得・個人情報保護影響評価(PIPIA)・最小限原則は引き続き適用されます。HRデータでも従業員への通知とPIPIAの実施が必要です。なお免除事由の解釈はむしろ緩やかに読む方向(列挙に限定されない)が示されており、過度に身構える必要はありません。
04データ種別ごとの実務判断 — HR・顧客・重要データ
実務ではデータの種別ごとに手続を切り分けます。
- HRデータ(従業員):人事管理免除に乗れば人数を問わず手続不要——最も負担が軽い。
- 顧客データ(BtoC):人数閾値でルートが決まる(非センシティブ情報のみなら10万人未満は免除、10万〜100万人未満はSCC/認証、100万人以上は安全評価。センシティブ情報を含む場合は人数によらず少人数免除の対象外——1万人未満はSCC/認証、1万人以上は安全評価)。契約履行の免除に乗る場合もあるが、マーケティング目的は免除外になりえます。
- 第三国への再移転:日本本社が受領データをさらに第三国(米国本社・ASEAN拠点等)へ流す場合、SCC附録の「個人情報越境説明」で開示が必要。当初届出時に再移転先を明記しておきます。
重要データは人数を問わず安全評価が必須ですが、「所管当局が特定・告知する」仕組みです。明示的に告知・公告されていなければデフォルトで非該当として扱えます。逆に告知されたら2か月以内に安全評価を申請し、評価完了まで当該データの越境を停止する義務が生じます。当局告知のウォッチは欠かせません。
05自由貿易試験区(自贸区)のネガティブリスト
自贸区に立地する場合は、手続が大幅に簡素化される可能性があります(2024年3月規定 第6条)。
自贸区は区内独自の「データ越境ネガティブリスト」を策定でき、リストに掲載されていないデータの越境は3手続が一律免除されます。すでに上海(臨港新片区含む)・北京・天津・海南・浙江などが17業種分野でリストを公布しています。各自贸区が他地域のリストを参照・複製して実施できるようになりつつあり、自贸区立地の日系子会社は、リスト外データの越境手続が簡素化される恩恵を受けられます。
06違反時の制裁と、年間の対応サイクル
越境手続の違反は重大事案として扱われうるため、形式を整えるだけでなく実態の運用が問われます。
重大な違反では最大5,000万元または前年度売上高の5%以下の過料、業務停止・許可取消し、直接責任者個人への10万〜100万元の過料と就任禁止が科されえます。データ安全法・ネットワークデータ安全管理条例にも別途罰則があります。
日系子会社の対応優先順位は、(1)送るデータの種類・人数を暦年で棚卸し →(2)重要データ該当を当局告知ベースで確認 →(3)自贸区ならネガティブリストを確認 →(4)HR・顧客で免除可否を判定 →(5)残りを人数閾値でSCC/認証/安全評価に振り分け、という順序です。
07まとめ — そして連載⑨(商標)へ
一文でいえば、中国のデータ越境は「免除(HR・契約履行・少人数)に乗るか、人数閾値でSCC/認証/安全評価に振り分けるか」を、暦年累計でモニタリングしながら判断する——ということです。2024年3月規定による緩和、自贸区ネガティブリスト、HR免除の定着で、実務の見通しは立てやすくなっています。一方、重要データの告知ベース運用や免除の個別判断など、実態に即した判断は引き続き必要です。
データまで整えたら、最後はブランドを守る段階です。次回・連載⑨(最終回)は、商標・ブランド保護——中国の先願主義と、進出前に手を打たないと取り返しがつかない冒認出願(先取り出願)対策を扱います。
データ対応は「棚卸し」から始まります。送るデータの種類・人数・送り先を整理すれば、多くは免除や軽い手続で回せます。ESPERANZA CONSULTING GROUPは、データ・労務・税務・ビザを横断して、現地子会社のコンプライアンスを実務目線で設計できます。
本記事は2026年6月時点の情報に基づく一般的な情報提供であり、個別の法務助言ではありません。閾値・手続・自贸区の運用・当局解釈は変更される場合があります。実際の判断にあたっては専門家にご確認ください。


